标签: password-recovery

是否可以在SQL Server 2008 R2中检索(如果用户具有sa权限)用户的密码？

场景是这样的:我需要在文档中自动存储所有用户名和密码的列表,但不更改密码,只需读取实际密码即可.

这可能吗？

我一直在网上搜索,还没有找到解决以下问题的方法......

我们目前有一个使用Laravel开发的网站,用户表是远程Microsoft SQL数据库.驱动程序config/auth.php已设置为"数据库".一切正常,除了密码重置功能,我们收到以下错误:

UnexpectedValueException in PasswordBroker.php line 238: User must implement CanResetPassword interface.

由于我对Laravel的有限理解(这是我对Laravel的第一次体验),Eloquent驱动程序支持CanResetPassword功能,但是,这还没有在Laravel的数据库用户提供程序中实现,因此错误.

所以我的问题是,有没有人有一个配置,他们有"数据库"的驱动程序,并实现了重置密码功能？我迄今看到的所有示例都与使用Eloquent模型有关,从我对Laravel的理解不是一个选项,因为在初始开发期间我们必须将驱动程序从Eloquent更改为数据库以使远程Microsoft SQL服务器在第一名.我担心,将Microsoft SQL数据库移动到本地数据库不是一种选择.

或者,如果有人实施了另一种用户使用电子邮件地址重置密码的方法,我会接受建议.

我让Maven设置密码加密和主密码,前段时间我用它加密了密码并存储在我的密码中settings.xml.密码已被Maven插件成功使用.

现在我想恢复该密码以便在Maven外部使用(使用Web浏览器手动执行操作).是否有命令只是打印解密版本的服务器密码？

我正在尝试延长确认电子邮件和密码重置电子邮件的生命周期,但我无法做到这一点.目前我正在使用Asp.net核心1.0.1,如果这有用的话.

一些提示甚至更好的代码,将非常感激.

谢谢

我已经看到有关这个问题的各种问题,但有几个问题没有被问到.如果用户忘记了密码,我希望他们能够仅使用他们的电子邮件地址重置密码(即没有安全问题/答案).密码存储为salted哈希,因此无法恢复.相反,我只是希望用户在确认他们已请求重置后输入新密码.

一个常见的方法是简单地说:

1)创建一个随机的Guid/Cryptographically强随机数

2)将包含随机数的唯一URL发送到用户的电子邮件地址

3)确认后,要求用户更改密码

但是,这不是开放的MITM攻击吗？如果通过互联网向电子邮件发送临时密码是不安全的,那么这样做与仅发送攻击者可以导航到的唯一URL之间的区别是什么？我是否错过了一个可以使这个系统更安全的关键步骤(或者是否有更好的方法来重置密码)？

谢谢

我知道从技术上讲,这个问题应该在phpStorm的论坛上提出,但是作为一个流行的IDE(我打赌最终的解决方案也适用于JetBrains的其他流行的IDE),我在想:

• SO上的某个人可能知道并分享答案(比我从供应商那里获得的更快)
• 该问题的答案可能是其他程序员有用的,有价值的(对于这个问题,即使我需要去对供应商的论坛上,我会回来的答案在这里,当我找到它)

如果需要上下文:我意外地将已保存连接的连接类型切换ftp为local folder,当我切换回时,保存的凭据消失了.

问题:我可以检索保存的密码吗？

• 角度1:......从这台电脑？
• 角度2:...来自另一台保存了相同凭据的计算机,我可以通过TeamViewer访问,但有密码●●●●●●(隐藏)？

django的新手在这里，当前正在尝试使用admin password_reset函数来实现密码恢复，但出现错误。根据我对其他遇到类似问题的人的了解，这是某种端口/套接字问题，但我不确定如何进行更改或修复。我应该提到我是通过虚拟ubuntu运行此命令的，不确定是否与此有关。

Environment:

Request Method: POST
Request URL: http://127.0.0.1:8000/admin/password_reset/
Django Version: 1.1.4
Python Version: 2.6.6
Installed Applications:
['django.contrib.auth',
 'django.contrib.contenttypes',
 'django.contrib.sessions',
 'django.contrib.sites',
 'homework.events',
 'django.contrib.admin']
Installed Middleware:
('django.middleware.common.CommonMiddleware',
 'django.contrib.sessions.middleware.SessionMiddleware',
 'django.contrib.auth.middleware.AuthenticationMiddleware')


Traceback:
File "/usr/local/lib/python2.6/dist-packages/django/core/handlers/base.py" in   get_response
  99.                     response = callback(request, *callback_args, **callback_kwargs)
File "/usr/local/lib/python2.6/dist-packages/django/contrib/auth/views.py" in password_reset
  116.             form.save(**opts)
    File "/usr/local/lib/python2.6/dist-packages/django/contrib/auth/forms.py" in save
  136.                 t.render(Context(c)), None, [user.email])
    File "/usr/local/lib/python2.6/dist-packages/django/core/mail.py" in send_mail
  407.                         connection=connection).send()
    File "/usr/local/lib/python2.6/dist-packages/django/core/mail.py" in send
  281.         return self.get_connection(fail_silently).send_messages([self])
    File "/usr/local/lib/python2.6/dist-packages/django/core/mail.py" in send_messages
  179.         new_conn_created = self.open()
    File "/usr/local/lib/python2.6/dist-packages/django/core/mail.py" in open
  144.                                            local_hostname=DNS_NAME.get_fqdn()) …

我很好奇密码恢复如何适用于受密码保护的文件. And I want to know the exact flow of the 7-zip encryption mechanism.

7-zip在CBC模式下使用AES-256加密算法来加密文件或文件夹.密钥由用户提供的基于SHA-256哈希函数的密码短语生成.SHA-256执行2 ¹⁹(524,288)次,以增加穷举搜索的成本.此外,为了帮助降低字典攻击的风险,在生成哈希之前,salt会附加到原始密码短语.

我的第一个问题是how does key_derivation function work to generate a 256-bit key？IV C对AES CBC模式及其生成方式的重要性是什么？

我的第二个most important question是如何验证密钥解密7-zip存档？我的意思是它的key_verification函数如何工作？

您建议以哪种方式在和中创建安全密码重置链接？我的意思是,我会创建一个随机令牌,对吧？如何在发送给用户之前对其进行编码？是MD5不够好？你知道其他任何安全方式吗？MVCC#

我的用例是为重置密码 api 生成令牌。我正在用 python 中的危险库来做这件事。 https://pythonhosted.org/itsdangerous/。

该令牌（在重置密码链接中）通过电子邮件转发给客户端，该令牌有有效期限，该期限经过验证，之后密码重置可以成功完成。

这里的问题是，一旦密码重置成功，我如何确保在到期时间限制内不能再次使用相同的令牌（电子邮件链接）。我可以看到它的危险有 URLSafeTimedSerializer，它有助于在验证阶段评估令牌的年龄。另一方面，TimedJSONWebSignatureSerializer 有助于在生成令牌时设置到期时间。请检查附加的代码段。

有没有更好的方法强制使令牌过期？如果不是，保存已使用令牌状态的最佳方法是什么？

import itsdangerous

key = "test"

# signer = itsdangerous.URLSafeTimedSerializer(key)
signer = itsdangerous.TimedJSONWebSignatureSerializer(key, expires_in=5)
email = "email@test.com"

# token = email  # to be used with URLSafeTimedSerializer
token = signer.dumps({"email": email})

print token

# print signer.loads(token, max_age=5) # to be used with URLSafeTimedSerializer
print str(signer.loads(token)["email"]) # to be used with TimedJSONWebSignatureSerializer