专栏首页马洪彪Fortify Audit Workbench 笔记 Password Management: Password in Configuration File(明文存储密码)

Fortify Audit Workbench 笔记 Password Management: Password in Configuration File(明文存储密码)

Password Management: Password in Configuration File(明文存储密码)

Abstract

在配置文件中存储明文密码,可能会危及系统安全。

Explanation

在配置文件中存储明文密码会使所有能够访问该文件的人都能访问那些用密码保护的资源。 程序员有时候认为, 他们不可能阻止应用程序被那些能够访问配置文件的攻击者入侵,但是这种想法会导致攻击者发动攻击变得更加容易。 健全的 password management 方针从来不会允许以明文形式存储密码。

Recommendation

绝不能采用明文的形式存储密码。 相反,应在系统启动时,由管理员输入密码。 如果这种方法不切实际,一个安全性较差、但通常都比较恰当的解决办法是将密码模糊化,并把这些去模糊化的资源分散到系统各处,因此,要破译密码,攻击者就必须取得并正确合并多个系统资源。 有些第三方产品宣称可以采用更加安全的方式管理密码。 例如, WebSphere Application Server 4.x 用简单的异或加密算法加密数值,但是请不要对诸如此类的加密方式给予完全的信任。 WebSphere以及其他一些应用服务器通常都只提供过期的且相对较弱的加密机制,这对于安全性敏感的环境来说是远远不够的。 较为安全的解决方法来是由用户自己创建一个新机制,而这也是如今唯一可行的方法。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • LIMS产品 - Starlims Client Request Portal 客户申请门户

    用户可以直接在starlims对外的“客户申请门户”上发起检验申请,并追踪检验进度等。

    用户1637609
  • Java设计模式(六)Adapter适配器模式

    一、场景描述 “仪器数据采集器”包含采集数据以及发送数据给服务器两行为,则可定义“仪器数据采集器”接口,定义两方法“采集数据capture”和“发送数据send...

    用户1637609
  • spss C# 二次开发 学习笔记(二)——Spss以及统计术语解释(IT人眼中的统计术语)

    针对客户需求,需要对一些数据做统计分析。统计分析的第一步,即为数据查询,查找出要统计分析的数据。 查询得出的是一个行列表格的结果集,行、列、表格等这些IT的数据...

    用户1637609
  • JavaScript-三种弹窗方式

    小小咸鱼YwY
  • TCP 协议中的三次握手与四次挥手及相关概念详解

    1、TCP、UDP 协议的区别 2、TCP 头部结构 3、三次握手与四次挥手过程详解 4、什么是 TIME_WATI 状态

    前端老鸟
  • linux chage命令详解

    语法 chage [选项] 用户名 选项 -m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。 -M:密码保持有效的最大天数。 -w:用户密码到期前,...

    孙杰
  • 解决Cannot find module '@angular/compiler-cli'

    今天clone之前做的一个angular项目,使用ng serve一直提示An unhandled exception occurred: Cannot fin...

    追逐时光者
  • 千亿级服务器监控数据存储实践

    公司目前有几十万台左右服务器,TMP(腾讯监控平台)平均每天采集1200亿+监控数据,本文将从当前存储架构存在的问题出发,介绍使用大数据平台组件 Hbase 存...

    jackiefang
  • aceEditor实现类似于codepen的效果

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明...

    lzugis
  • Python采用并发查询mysql以及调用API灌数据 (四)- Python封装Http请求基本类方法

    上一篇文章已经编写了跨文件目录引入mysql的封装类,那么本章节我们来继续编写封装Http请求的基本类方法。

    Devops海洋的渔夫

扫码关注云+社区

领取腾讯云代金券