标签: password-protection

我们将所有应用程序和db密码以纯文本形式存储在源代码管理中.我们这样做是因为我们的构建/部署过程生成了所需的配置文件,并且还执行了需要这些密码的实际部署(即:针对数据库运行sql需要您使用有效凭据登录到数据库).有没有人有类似的需求,你可以实现这种类型的功能,而不是以纯文本形式存储密码？

您使用什么策略来避免在版本控制中存储密码？

目前,我将开发/测试/生产密码保存在三个不同的文件中,并在部署期间使用相应的文件.所有这些都致力于版本控制,但我对此并不满意,因为并非所有开发人员都需要知道这些密码(特别是外包的密码,只有在他们的项目持续时才可以访问,这可能只有一个月).

在数据库中存储密码不是一个很好的选择:

• 我在Spring上下文(Java app)的初始化期间需要大部分数据,我不想构建用于连接到单个数据库的脚手架,然后连接到其余的数据库并初始化其余的应用程序
• 一些密码只与部署有关; 用于访问不同服务器,密钥库等的密码; 这些是应用程序启动后无法加载的东西,因为它根本不加载它

我正在考虑将部署配置从开发人员计算机移动到专用计算机,该计算机从版本控制中检出代码并运行构建/部署脚本,但我不确定最好的方法是什么.

我还需要说我不想要最终的安全性:我只是想避免在每个开发人员的磁盘上使用密码并使其变得太容易.

所以我要求你的经验/最佳实践.你怎么做呢？

我开始阅读Google Chrome的文档,并喜欢使用HTML和Javascript创建扩展程序的方法.阅读本教程关于本地存储让我想到了很多不同的用途.

我想开发一个扩展来帮助我建立公司系统.这是非常具体的,它只会在公司内部使用.

此扩展程序将使用javascript DOM为此公司系统执行一些活动,只需点击一下Google的Chrome工具栏即可.只需单击一下,扩展程序就需要在Chrome中存储密码:因此,如果重新启动系统,则无需再次输入.

我怎么做？在Google Chrome扩展程序中保留密码以登录其他系统？我不想将其存储在"纯文本"中,我想至少使用某种加密(可能是使用此资源的Google Chrome API).

可能吗？如何使用Google Chrome的扩展程序结构(最佳方式)保留此数据？

我想使用Face Unlock作为我的应用程序的第二个因素,因为我的大多数用户都不会使用密码锁定他们的手机.

是否有Android API可以在Android应用中集成Face Unlock？

有用于照片识别的人脸检测API,但我找不到可用于离线场景的API,特别是在应用程序中的其他因素.

如果你需要一个真实世界的例子,假设这是一个密码管理器,或者电话将被借给孩子......并且所有者永远不会锁定电话.面部解锁将确保他们需要私密的东西.

Internet Explorer在哪里存储密码？

由于这是一个编程站点,我不是要求IE存储密码的位置,而是用于保存密码的API.

起初我认为微软正在使用标准API:

• CredRead
• CredWrite

用于保存域和通用程序/网站凭据.

CredRead/ CredWrite然后转身并使用:

• CryptProtectData
• CryptUnprotectData

使用当前用户的帐户加密数据.CredRead/ CredWrite然后将数据存储在一些神奇的位置,您可以从控制面板中看到它们的内容:

但我没有看到IE密码.所以即不使用CredRead/ 存储密码CredWrite.

IE使用什么API来存储密码,如果使用CryptProtectData,那么它在哪里存储受保护的数据？

编辑:我问的原因不需要解释(因为它很明显),但这是因为我可能想要使用相同的机制.

我正在使用DotNetZip来压缩我的文件,但我需要在zip中设置密码.

我试过:

public void Zip(string path, string outputPath)
    {
        using (ZipFile zip = new ZipFile())
        {
            zip.AddDirectory(path);
            zip.Password = "password";
            zip.Save(outputPath);
        }
    }

但输出zip没有密码.

该参数path有一个例子的子文件夹: path = c:\path\ 我有内部路径subfolder

怎么了？

我正在使用Entity Framework Database First方法和现有数据库开发MVC 5 Web应用程序.

我也使用ASP.Net Identity进行授权和身份验证,但是,我没有使用内置的Entity Framework代码,即UserManager,ApplicationUser等,而是我使用的方法与Brock Allen类似.

http://brockallen.com/2013/10/24/a-primer-on-owin-cookie-authentication-middleware-for-the-asp-net-developer/

我现在正在进行帐户登录和注册,我想在将用户密码存储到自定义用户表之前对其进行哈希处理.

我意识到我可以创建自己的自定义类来实现IPasswordHasher,但是,这就是我陷入困境的地方.下面显示了我认为它应该如何工作的模拟,但是,我并不完全确定这是正确的.

public class CustomPassword : IPasswordHasher
{
    public string HashPassword(string password)
    {
        return password;
    }

    public PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword)
    {
        if (hashedPassword.Equals(providedPassword))
            return PasswordVerificationResult.Success;
        else return PasswordVerificationResult.Failed;
    }
}

这些是我的问题:

Q1:当我注册一个新的用户帐户并将我的帐户控制器中的用户密码传递给HashPassword方法时,我希望将用户密码哈希并作为字符串返回,但是,我不知道要放什么代码进入HashPassword 函数来做到这一点.

CustomPassword pwd = new CustomPassword();
String UserPassword = "test@123";
String HashedNewPassword = pwd.HashPassword(UserPassword);

Q2:当用户登录网站时,我想提取他们提供的密码,从数据库用户表中检索哈希密码,然后在 …

我刚开始实施加密技术,而且我还在学习基础知识.

我的开源代码库需要对称加密功能.该系统有三个组件:

• 存储某些用户数据的服务器,以及有关是否加密的信息,以及如何加密
• AC#客户端,允许用户在发送到服务器时使用简单密码加密其数据,并在接收时使用相同的密码解密
• 执行相同操作的JavaScript客户端,因此必须与C#客户端的加密方法兼容

看看各种JavaScript库,我遇到了SJCL,它有一个可爱的演示页面:http://bitwiseshiftleft.github.com/sjcl/demo/

从这一点来看,为了解密密文,客户需要知道的(除了使用的密码之外)是:

• 初始化向量
• 密码上使用的任何盐
• 钥匙尺寸
• 身份验证强度(我不完全确定这是什么)

用密文保存所有这些数据是否相对安全？请记住,这是一个开源代码库,除非我要求用户记住它们,否则我无法合理地隐藏这些变量(是的,正确).

任何建议表示赞赏

在JBoss AS 5中,我在*-ds.xml中定义了一个数据源,但是将用户名/加密密码放在*-jboss-beans.xml中.

现在在JBoss AS 7.1中,数据源在standalone.xml或domain.xml中定义.我在哪里将加密密码放在AS 7.1中？

换句话说,如何在AS 7中加密和保护明确的密码？

我目前正在开发一款适用于平板电脑的应用程序,可以在商店中展示广告.我需要为设置应用程序添加密码保护.为此,我需要检测设置应用程序是在后台服务中启动的.对于Android版本低于API 21的设备,可以使用getRunningTasks()完成此操作.不幸的是,此方法现已弃用.我尝试用这个答案实现我的目标,但事情并没有按照我的需要运作.我正在试着听,V/WindowManager( 740): Adding window Window{1f4535ef u0 com.android.settings/com.android.settings.Settings} at 9 of 16 (before Window{e14eed2 u0 Starting com.android.settings})但我不能把它当成输出.我正在使用上面引用的答案中的代码.而不是烘烤它我在logcat中打印它.

你能告诉我如何在API 21以上的Android版本中实现我的目标吗？我知道这是可能的,因为像Smart AppLock这样的应用程序可以实现.提前致谢!