问题标签 [password-recovery]

目前，我正在简化在安全审计中提取 Windows 密码哈希的过程。就我个人而言，我希望在进行审计时更轻松地生成已恢复用户及其密码的列表。我认为它对于尝试比较和生成大量数据的其他人也很有用。

所以这里是要点：

当我从 Windows 系统文件中提取所有数据时，我将它们简化为格式 user:hash，其中哈希是 NTLM 哈希，例如“a87f3a357d73085c45f9416be5787e86”。

然后我将使用 oclHashcat 并尝试破解哈希，无论是字典还是暴力破解，都没有关系。我生成所有恢复的哈希的输出，但是 Hashcat 以 hash:password 格式生成它们。

现在这是我的问题以及我想要输入的内容 - 我想在给定两个输入文件的情况下将输出生成为 user:password。考虑到我可以有数百个散列但只有几个恢复的密码，尝试对列表进行排序是没有用的。

我不确定哪种数据结构对我最有利。数组对于大表来说效率太低了。我研究了序列化，并且一直在探索哈希映射和哈希表的使用。鉴于散列的大小，我没有任何运气实现这些方法，或者我这样做不正确。

目前我正在像这样运行程序：

我正在有效地尝试像这样（简要地）运行程序：

我只是想找出一种有效的方法来跟踪每一行并将必要的数据提取到我可以轻松跟踪的数据结构中。

如果我需要澄清任何事情，请告诉我。任何帮助表示赞赏！

很久以前，一位工程师在未连接到任何网络的 PC 上创建了 TortoiseSVN 存储库。整个安装是该 PC 的本地安装。据我所知，任何其他用户从未访问过该存储库。我没有工程师的密码。auth 目录为空 - 没有缓存的凭据。

我现在需要访问这个 repo。

问题：我应该放弃存储库，创建一个新存储库并导入我们认为与原始存储库相关联的文件……还是有一种解决方案可以让我保留所有旧数据和历史记录？

谢谢

我正在为我正在开发的网站编写一个简单的密码恢复功能，我想知道过期时间。

言归正传，我想为我要发送的重置密码链接添加大约 48 小时的过期时间。我是否必须创建一个新列来存储当前时间并稍后检查它是否仍然有效，还是有更简单的方法？

到目前为止，这是我的代码：

这是我的randHash代码：

我正在使用带有身份验证组件的 cakphp2。我的要求是使用 phpmyadmin 工具更新 mysql 数据库中的密码。哪种散列技术 cakephp authcomponent 用于密码字段？我该如何更新它？我是cakephp的新手，请帮助我。

我的 beforesave 功能代码：

我想手动更改密码并将密码发送给我的用户，但我得到“对象引用未设置为对象的实例”。错误。我的鳕鱼有什么问题：谢谢：

有人可以告诉我烧瓶安全的密码重置令牌中发生了什么吗？代码在github上：

https://github.com/mattupstate/flask-security/blob/develop/flask_security/recoverable.py

（目录中可能还有其他部分。）

我对正在发生的事情的理解：

1. 在 forgot_password() 定义的路由中，用户提交表单以重置密码
2. 生成“reset_password_token”。这由用户的 ID + 用户当前（存储加密）密码的 md5() 组成？
3. 生成指向包含令牌的重置密码地址的链接。
4. 此链接通过电子邮件发送到 user.email 提供的地址
5. 当用户单击该链接时，他们会转到一条路线（在视图中定义），即 reset_password(token)。令牌值是此路由的参数。
6. 该路由评估令牌是否有效且未过期。
7. 如果是这样，则此路由会呈现一个要求输入新密码的表单，即 ResetPasswordForm()。

那是对的吗？

还：

1. 如果上面是正确的，让令牌包含当前密码的新 md5() 是否安全？我知道它应该是独一无二的，而且逆转成本很高，但仍然如此吗？
2. 有效期存储在哪里？

我对 generate_password_reset 函数特别感到困惑

data = [str(user.id), md5(user.password)] return _security.reset_serializer.dumps(data)

和

get_token_status(token, 'reset', 'RESET_PASSWORD')内部函数reset_password_token_status(token)

在 Drupal 7 中，有一种方法可以通过转到“/user/password”来重置密码。如果您填写您的电子邮件地址，您应该会在收件箱中收到一封电子邮件，其中包含用于重置密码的 URL。

在该页面上，您需要单击“登录”，然后您将被重定向到您的个人资料页面（“/用户”）。有没有办法编辑最后一个重定向？

谢谢！

当用户获得这样的用户密码重置链接时，密码重置像这样http://digitalsuite.unitedway.org/user/reset/3/1356108765/5ff18af572734c897f4d7a2946983a87

它不会自动让他们登录，他们没有收到任何消息，只是立即进入登录屏幕。这是在哪里编码的，所以我可以调试正在发生的事情？谢谢戴安娜

我需要一些用于在 Rails 中确认电子邮件和重置密码的路线，以便用户在他们收到的电子邮件中单击。

我查看了Railscast #274 - 记住我并重置密码，它为那个重置操作创建了一个单独的控制器。

想知道是否因为它们都是User#email相关的，所以它们可能不适合作为用户控制器本身的成员或集合操作？！？路线如：

/user/reset/:token&/user/confirm/:token 或 /user/:id/reset/:token&/user/:id/confirm/:token 似乎是合理的，但不确定如何创建它们以及路线助手会是什么样子？！？

或者也许它们都可以组合在一个控制器中？verification/confirm/:token& /verification/reset/:token?

无论如何，只是寻找想法来节省我的一些试验和错误。我不想要的是两个单独的控制器（一个用于电子邮件确认，另一个用于密码重置）。

我目前正在担心 Web 应用程序用户的密码恢复方法。

一个想法是使用带有恢复 url 的电子邮件，只询问用户他/她的用户名，但如果他/她也忘记了，请询问电子邮件地址。

另一个想法是使用“秘密问题”，然后将密码发送给用户。

您知道密码恢复的其他任何可能更好的选项吗？除了用户感到沮丧之外，还有什么缺点是“错误的密码限制”？

编辑：昨天我被告知，在一些旧版本中，一些客户仍在更新和使用，电子邮件地址和用户名都不必是唯一的。

所以我现在完全被困住了。我唯一想到的是使用一个秘密问题，用户可以在首次登录后选择该问题。但不是发送电子邮件，而是直接打开“新密码对话框”。

你还有什么想法吗？