问题标签 [passwords]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 加密密码
加密密码的最快且安全的方法是什么(最好使用 PHP),无论您选择哪种方法,它是否可移植?
换句话说,如果我稍后将我的网站迁移到不同的服务器,我的密码会继续有效吗?
正如我被告知的那样,我现在使用的方法取决于服务器上安装的库的确切版本。
sql-server - 将数据库密码存储在启动脚本/配置文件中的最佳方法?
所以我们的网络服务器应用需要连接到数据库,而其他一些应用有在启动时执行的启动脚本。
就这些应用程序而言,存储名称/密码的最佳方式是什么?
- 安全性,例如我们可能不希望系统管理员知道数据库密码
- 可维护性,例如在密码更改时使配置易于更改等。
windows 和 linux 解决方案都赞赏!
database - 简单的密码加密
什么是用于保护数据库中密码的良好、简单的加密方案?我不一定需要任何超安全的东西,也不需要任何闪电般快速的东西,但那些东西会很好。首先,我只想要一些易于实现而又不会非常缓慢或不安全的东西。
security - 禁用浏览器“保存密码”功能
为政府医疗保健机构工作的乐趣之一是必须处理有关处理 PHI(受保护的健康信息)的所有偏执。不要误会我的意思,我完全赞成尽一切可能保护人们的个人信息(健康、财务、上网习惯等),但有时人们会有点过于紧张。
恰当的例子:我们的一位州客户最近发现浏览器提供了方便的功能来保存您的密码。我们都知道它已经存在了一段时间并且是完全可选的,由最终用户决定是否使用它是一个明智的决定。但是,目前有一些骚动,我们被要求找到一种方法来禁用我们网站的该功能。
问题:网站有没有办法告诉浏览器不要记住密码?我从事 Web 开发已经有很长时间了,但不知道我以前遇到过这种情况。
任何帮助表示赞赏。
javascript - 无需 ssl 的双向密码加密
我正在使用 basic-auth twitter API(不再可用)将 twitter 与我博客的评论系统集成。这个和许多其他 Web API 的问题是它们需要用户的用户名和密码才能做任何有用的事情。我不想处理安装 SSL 证书的麻烦和成本,但我也不希望密码以明文形式通过网络传递。
我想我的一般问题是:如何通过不安全的渠道发送敏感数据?
这是我目前的解决方案,我想知道其中是否有任何漏洞:
- 在服务器上生成一个随机密钥(我使用的是 php)。
- 将密钥保存在会话中,并将密钥输出到 javascript 变量中。
- 在表单提交时,在 javascript 中使用 Triple DES和密钥来加密密码。
- 在服务器上,使用会话中的密钥解密密码,然后销毁会话。
最终结果是只有加密的密码通过线路发送,并且密钥只使用一次,并且从不与密码一起发送。问题解决了?
winforms - 如何在 Winforms 应用程序中存储密码?
我在编写用于查询用户邮箱存储配额的 winforms 应用程序中有一些这样的代码。
无论我尝试了哪种方法(例如SecureString),我都可以使用 Reflector 或使用 Process Explorer 的字符串选项卡来轻松查看密码( m_pwd )作为可执行文件。
我知道我可以将此代码放在服务器上,或者使用委托等机制加强安全性,并只为服务帐户提供所需的权限。
有人可以建议一种相当安全的方法来将密码存储在本地应用程序中而不向黑客泄露密码吗?
散列是不可能的,因为我需要知道确切的密码(不仅仅是用于匹配目的的散列)。加密/解密机制不起作用,因为它们依赖于机器。
firefox - 如何编写自动输入代理密码的 Firefox 插件?
假设有人在一家公司工作,该公司建立了一个 HTTP 代理,以防止在没有密码身份验证的情况下访问互联网(我认为是 NTLM)。还假设这个密码每天轮换一次,这增加了很少的安全性,但主要是为了惹恼员工。如何开始编写一个自动输入这些轮换密码的 Firefox 插件?
澄清一下:这个插件不仅仅是提交密码;附加组件将使用密码轮换方案的一些知识以编程方式生成它。
language-agnostic - 如何避免将数据库密码以明文形式存储在源代码中?
在我正在开发的网络应用程序中,我目前在连接到数据库时使用了一个简单的解决方案:
这是相当不安全的。如果攻击者获得了对源代码的访问权,他也获得了对数据库本身的访问权。我的 Web 应用程序如何在不将数据库密码以明文形式存储在源代码中的情况下连接到数据库?
c# - 存储 Windows 密码
我正在编写(在 C# 中使用 .NET 3.5)一个管理应用程序,它将轮询多个 Windows 系统以获取各种数据。在许多情况下,它会使用 WMI,但在某些情况下,它可能需要读取远程注册表或在轮询系统上远程执行某些命令或脚本。此轮询将以重复的时间间隔发生 - 通常是每晚,但可以配置为更多(或更少)频繁发生。因此,民意调查可以每 10 分钟一次,也可以每月一次。它需要以自动化的方式发生,无需任何人工干预。
这些功能将需要对轮询系统的管理员级别访问权限。现在,我希望在大多数用例中,会有一个域,并且轮询应用程序可以作为具有域管理员(或同等)权限的服务运行,这意味着我不必担心存储密码 - 管理员设置该应用程序将通过标准 Windows 机制定义服务的用户名/密码。
但是外面总是有一些害群之马。该程序可以在非域环境中运行,或者在某些轮询系统不是域成员的情况下运行。在这些情况下,我们必须定义用户名和密码,安全地存储它们,然后在我们轮询该系统时调用这个用户/通行证对。所以请记住——在这种情况下,正在编写的程序是向身份验证系统发送密码的用户。
我不确定是否需要使用可逆哈希,然后在使用时将其解密为纯文本,或者是否有一些 Windows 机制允许我存储然后仅重用哈希。显然第二种机制更可取;我希望我的程序要么永远不知道密码的明文值,要么在尽可能短的时间内知道它。
我需要有关实现此目的的智能和安全方法的建议。
感谢您的关注!
c++ - 如何使用所有者密码但没有用户密码来解密 PDF?
尽管 Adobe 提供了PDF 规范,但它并不是最容易阅读的文档。PDF 允许对文档进行加密,因此需要用户密码和/或所有者密码才能对文档进行各种操作(显示、打印等)。一个常见的用途是锁定 PDF,以便最终用户可以在不输入任何密码的情况下阅读它,但执行其他任何操作都需要密码。
我正在尝试解析以这种方式锁定的 PDF(以获得与在任何阅读器中打开它们相同的权限)。使用空字符串作为用户密码不起作用,但似乎(规范的第 3.5.2 节)必须有一个用户密码才能为管理员密码创建哈希。
我想要的是如何做到这一点的解释,或者我可以阅读的任何代码(理想情况下是 Python、C 或 C++,但任何可读的都可以),这样我就可以理解我的意思正在做。最好是独立代码,而不是通读(例如)gsview 源代码。