如何存储和验证从 PIN/密码中随机选择的数字
如果我有一个用户的 6 位 PIN(或 n 字符字符串),并且我希望验证从 PIN(或 x 字符)中随机选择的 3 位数字作为“登录"过程的一部分,我将如何存储数据库中的 PIN 或某些加密/散列版本的 PIN,以便我可以验证用户身份? 想法: 将 PIN 码存储在可翻转的(对称或非对称)加密方式,解密用于数字校验. 存储 PIN 的一系列散列排列,以针对某些ID,链接到“随机选择数
..
passwords相关内容
PHPass的正确实现
我正在使用 PHPass 在我的应用程序中存储用户密码,因为它比 md5 或 sha1 更安全.我有一个关于如何在密码中使用盐的问题. 根据我收集的信息,当您插入用户时,我会这样使用它: $pwdHasher = new PasswordHash(8, false);$hash = $pwdHasher->HashPassword($input_password); 然后当您在登录时检查
..
输入框中写入的密码不会通过堆栈跟踪易受攻击吗?
我根本不是堆栈跟踪专家.我什至不知道如何得到它们.无论如何,我想知道在输入框中输入密码是否安全.不能通过获取堆栈跟踪来检索它吗? 这样输入的密码会在很多地方找到: TEdit 的 Caption 属性 创建输入框的函数结果 可能是存储输入框命令结果的变量 等等…… 如果答案是“是的,这是一个漏洞",那么我的世界就崩溃了:p.可以做些什么来避免这个安全漏洞? 注意:In
..
正则表达式验证具有字符限制的密码
我需要使用以下规则验证密码: 6 到 20 个字符 必须包含至少一位数字; 必须至少包含一个字母(不区分大小写); 可以包含以下字符:!@#$%&* 以下表达式匹配除最后一个要求之外的所有要求.我可以用最后一个做什么? ((?=.*\d)(?=.*[A-z]).{6,20}) 解决方案 我不完全确定我有这个权利,但因为你的最后一个要求是“可以包含以下字符:!@#
..
App Engine:传输密码并将其安全存储在 Google App Engine 中的最佳做法是什么?
我想知道从网络表单传输密码并将其存储在数据存储中的最新技术是什么. 最近很多帖子都指向 bcrypt,但是,没有纯 Python 实现,这是 App Engine 的要求. 有什么建议吗? 解决方案 最佳实践?将用户 API 与 Google 帐户或 OpenID 一起使用,因此您一开始就不会存储或传输密码. 如果您必须自己做,请通过 SSL 传输登录数据,并存储经过哈希
..
以纯文本形式在数据库中存储密码与客户需求
我想称“在数据库中以纯文本形式存储密码"是一种不好的做法……但我们的客户在他的应用程序中这样做了.他们希望我续订该申请. 我的意思是:我想改变这一点……但由于我们的客户不需要它,所以还不清楚. 您如何处理此类安全问题?在我看来,很难向客户解释这些问题. 解决方案 写一封简短、清晰且没有行话的正式信函,说明您的疑虑,并得出结论,根据您的专业意见,应该予以纠正.向客户中相当高的人提
..
通过在垃圾收集之前使用反射清理内容来安全地使用字符串作为密码
使用反射擦洗 String 是否使使用 String 与使用 char[] 密码一样安全? 从安全方面来看,通常认为最好的做法是使用 char[] 来存储/传递密码,因为可以在代码中尽快将其内容归零,这可能是在垃圾收集清理它并重用内存(擦除所有跟踪)之前显着降低内存攻击的时间窗口. 但是,char[] 不如 String 方便,所以如果可以“擦洗"一个 String需要,从而使 Str
..
存储和检索 SHA-256 散列和加盐密码的正确方法
这是我第一次尝试安全地存储密码,我想确保一切都正确完成.有人建议我将 SHA-256 散列与 salt 一起使用. 假设用户提交了完整的密码表单,我们通过 获取密码 $password = $_POST["password"]; 什么是加盐 $password 并对其使用 SHA-256 散列的正确方法,因此它可以存储在数据库中的密码字段“密码 CHAR(64)"中? 完成并存储
..
Android:用户登录并保持会话直到注销(需要批准)
..
安全密码生成和存储
我正在构建一个登录系统,我想确保我正在编写编写代码以在数据库中生成和存储密码.$options['passwd'] 是用户选择作为密码的字符串. 这是我生成哈希的代码: 公共函数 createPasswd($options) {$hash_seed = 'm9238asdasdasdad31d2131231231230132k32ka¡2da12sm2382329';$password =
..
如何使用 expect 通过 ssh 连接到系统并更改主机系统的密码?
我正在自动化以下过程: 使用用户名“alpha"的密码“alpha"通过 ssh 连接到名为“alpha"的系统.连接后,我想设置 root 密码(设置为“kickass").我连接的系统默认没有root密码.我编写了这个期望脚本来完成这项工作,但它不能始终如一地工作.它工作一次,然后如果我更改密码以再次测试,它会在发出“sudo passwd root"后等待“输入新的 UNIX 密码:"提示
..
2013 年的密码哈希
当今这些“最佳"解决方案是什么? 这似乎是一个不错的选择:https://defuse.ca/php-pbkdf2.htm 但是升级到 PHP5.5 并使用它怎么样?http://php.net/manual/en/function.hash-pbkdf2.php 很好奇为什么 PHP 网站声明: 注意PBKDF2 方法可用于存储密码的散列(NIST 批准用于该用途).不过
..
安全模式:使用用户凭证登录第三方站点
我开发了一项服务 (Service),它可以自动执行用户可以在另一个第三方网站 (3rd Party Site) 上执行的某些操作. 我的服务为用户提供以下功能: 用户在服务中注册 用户向服务提供他/她的第 3 方站点用户名/密码 服务使用该凭据代表用户登录到第 3 方站点 服务将第 3 方网站发布的 cookie 存储在其数据库中 从现在开始,服务开始使用之前存储的coo
..
如何在 ASP.NET Identity 中使用和 ASP.NET Membership 数据库?
我有几个旧的 ASP.NET Web 应用程序共享一个用于 ASP.NET 成员资格的数据库.我想迁移到使用 .NET Core 和 IdentityServer4 的微服务架构,并让新微服务生态系统中的身份服务器使用现有的 ASP.NET Membership 用户存储,但 .NET Core 似乎不支持 ASP.NET Membership全部. 我目前有一个概念证明,其中涉及一个 We
..
密码拉伸 - 一种缓解 CPU 泛滥的方法
..
在不使用公钥身份验证或期望的情况下自动化 SSH(1)
有没有办法自动将密码传递给 ssh.我想通过某种方式让 ssh 从标准输入或文件读取密码,不使用公钥身份验证或期望脚本自动 ssh 到服务器. 之所以必须这样,是因为我想将我的文件备份到使用 rsync/ssh 作为 cron 作业运行的服务器上.该服务器在对我进行身份验证后挂载我的主目录,因此使用公钥身份验证不起作用,因为 ~/.ssh 在登录成功之前不可用.expect(1) 是不可能的
..
密码强度验证的正则表达式问题
我正在为我们的密码要求寻找一个单一的正则表达式.密码: 必须至少为 8 个字符 不能包含空格 同时包含小写和大写字符 至少包含一位数字 至少包含一个特殊字符(即任何非0-9,a-z,A-Z的字符) 解决方案 想法和大部分工作取自 http://www.zorched.net/2009/05/08/password-strength-validation-with-regula
..
.net 桌面应用程序中的连接字符串安全性
我正在开发一个 .net winforms 桌面应用程序,当主要应用程序(Web 应用程序)由于与银行中央节点的连接问题而无法使用时,该应用程序将在多个银行分行作为备用应用程序运行.除了 SQL-Server 数据库之外,这些分支本身不计入任何企业服务.因此,应用程序应该能够直接连接到 SQL-Server.当我必须为应用程序提供连接数据库的密码时,我的问题就出现了: 1) 不能将密码以明文
..
难道真的不能写一个php cli密码提示在windows中隐藏密码吗?
我花了几个小时试图找到一种在 php 中编写跨平台密码提示的方法,以隐藏用户输入的密码.虽然这在 Unix 环境中通过使用 stty -echo 很容易实现,但我尝试了各种 passthru() 和 system() 调用方法来使 Windows 做同样的事情,但无济于事. 我试过了: passthru('set/p pass=Password:');system('echo %pass%
..
密码处理最佳实践?
我们有许多网络服务和网络应用程序以不同的方式对用户进行身份验证,其中一些出于非常糟糕的技术原因需要不同的密码.例如,一个系统拒绝 $ 符号,直到有人“修复"了某些 Perl 脚本中的字符串处理.另一个系统似乎可以解析 @ 登录密码.另一个系统向他们颁发用户密码,开发人员很自豪地向我展示这是用户名的可逆转换. 我了解密码哈希是首选;但我想知道在过渡到基于浏览器的软件时必须牺牲多少.为了我自己的
..