问题标签 [passwords]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
linux - 如何恢复或更改 Oracle sysdba 密码
我们正在使用一个 oracle 数据库,其中设置它的人“早已不复存在”,因此不知道 sysdba 密码,但需要它。我们有这个盒子的 root 访问权限(它在 linux 上)。有没有办法恢复或更改系统密码?
c# - 生成随机密码
当我们网站上的用户丢失密码并前往“丢失密码”页面时,我们需要给他一个新的临时密码。我真的不介意这是多么随机,或者如果它符合所有“需要”的强密码规则,我想做的就是给他们一个密码,他们以后可以更改。
该应用程序是用 C# 编写的 Web 应用程序。所以我想变得刻薄,并采用简单的方法来使用 Guid 的一部分。IE
建议?想法?
php - 唯一密钥生成
我正在寻找一种方法,特别是在 PHP 中,我将保证始终获得唯一的密钥。
我做了以下事情:
但是我发现有时我会得到一个重复的键(很少,但经常)。
我也想过这样做:
但是根据 PHP 网站,uniqid() 可以,如果 uniqid() 在同一微秒内被调用两次,它可以生成相同的密钥。我认为添加 rand() 它很少会,但仍然可能。
在上面提到的行之后,我还删除了 L 和 O 等字符,这样用户就不会感到困惑。这可能是重复的部分原因,但仍然是必要的。
我想到的一个选择是创建一个网站,该网站将生成密钥,将其存储在数据库中,确保它是完全唯一的。
还有其他想法吗?是否有任何网站已经这样做了,它们有某种 API 或者只是返回密钥。我找到了http://userident.com但我不确定密钥是否完全唯一。
这需要在没有任何用户输入的情况下在后台运行。
security - 自动生成的密码中要避免的字符
我需要生成一些密码,我想避免可能相互混淆的字符。是否有明确的我应该避免的角色列表?我目前的清单是
il10o8B3Evu![]{}
还有其他容易混淆的字符对吗?对于特殊字符,我将自己限制在数字键下,尽管我知道这取决于您的键盘国籍!
作为一个骑手的问题,我希望我的密码是“wordlike”你有一个喜欢的算法吗?
谢谢 :)
encryption - 如何对单个文件实施密码保护?
我正在编写一个小桌面应用程序,它应该能够加密数据文件并用密码保护它(即必须输入正确的密码才能解密)。我希望加密的数据文件是独立且可移植的,因此必须将身份验证嵌入文件中(或者我假设)。
根据我所知道的,我有一个看起来可行且合乎逻辑的策略(这可能足以造成危险),但我不知道它是否真的是一个好的设计。所以告诉我:这疯了吗?有没有更好/最好的方法来做到这一点?
- 第一步:用户输入明文密码,例如“MyDifficultPassword”
- 第 2 步:应用程序对用户密码进行哈希处理,并使用该值作为对称密钥来加密/解密数据文件。例如“MyDifficultPassword”-->“HashedUserPwdAndKey”。
- 第 3 步:应用程序对第 2 步中的哈希值进行哈希处理,并将新值保存在数据文件头(即数据文件的未加密部分)中,并使用该值来验证用户的密码。例如 "HashedUserPwdAndKey" --> "HashedValueForAuthentication"
基本上,我是从实现网站密码的常用方法(即当您不使用 OpenID 时)推断出来的,即将用户密码的(加盐)哈希存储在您的数据库中,并且从不保存实际密码. 但是由于我使用散列用户密码作为对称加密密钥,所以我不能使用相同的值进行身份验证。所以我再次对其进行哈希处理,基本上将其视为另一个密码,并将双重哈希值保存在数据文件中。这样,我可以将文件带到另一台 PC 上,只需输入我的密码即可对其进行解密。
那么这种设计是相当安全的,还是天真无望的,还是介于两者之间?谢谢!
编辑:澄清和后续问题:盐。
我认为盐必须保密才能有用,但您的答案和链接暗示情况并非如此。例如,由埃里克森(下)链接的这个规范说:
因此,此处定义的基于密码的密钥派生是密码、盐和迭代计数的函数,其中后两个量不需要保密。
这是否意味着我可以将盐值存储在与散列密钥相同的位置/文件中,并且仍然比在散列时完全不使用盐更安全?这是如何运作的?
更多上下文:加密文件不打算与其他人共享或解密,它实际上是单用户数据。但是我想将它部署在我无法完全控制的计算机上的共享环境中(例如在工作中),并且能够通过简单地复制文件来迁移/移动数据(这样我就可以在家中使用不同的工作站等)。
passwords - 替换应用程序的纯文本密码
我们目前正在为我们拥有的网络应用程序存储纯文本密码。
我一直提倡使用密码散列,但另一位开发人员说这会不太安全——更多的密码可以匹配散列,字典/散列攻击会更快。
这个论点有任何道理吗?
authentication - 贵公司如何管理凭据?
这是对建议甚至可能的解决方案的呼吁。我还没有在一家似乎真正让证书管理“正确”的公司工作。
我看过 excel/word 文档,甚至是便利贴“解决方案”。
但我的主要问题是正确的方法是什么?
我最初认为它会围绕 KeePass 展开,但是您将如何管理用户之间的这些数据库?
此外,在我见过的所有在线密码管理器中,没有一个是真正的多用户。
希望这可以带来一些观点,并对我没有看到任何好的答案的事情有所启发。
java - 在客户端-服务器应用程序中:如何将用户的应用程序密码发送到数据库?
我有一个直接与数据库(Oracle)连接的 Java 桌面应用程序。该应用程序有多个用户帐户。通过网络发送用户密码(不是数据库密码)的正确方法是什么?我不想以纯文本形式发送它。
algorithm - 检查密码强度的最佳方法是什么?
确保用户提供的密码是注册或更改密码表单中的强密码的最佳方法是什么?
我有一个想法(在python中)
ruby - 如何在 Ruby 中生成随机字符串
我目前正在为“A”..“Z”生成一个 8 字符的伪随机大写字符串:
但它看起来并不干净,并且不能作为参数传递,因为它不是单个语句。为了获得混合大小写的字符串“a”..“z”加上“A”..“Z”,我将其更改为:
但它看起来像垃圾。
有没有人有更好的方法?