无法在密码字段上发送密钥
在密码字段上发送密钥是一种不安全的做法,因为密码字段通常用于存储用户的敏感信息,如登录密码。将密钥发送到密码字段可能会导致密钥被泄露,从而使系统容易受到攻击。
为了确保安全性,应该遵循以下最佳实践:
- 密钥管理:密钥应该被妥善管理,包括生成、存储和轮换。可以使用密钥管理系统(Key Management System,KMS)来管理密钥。
- 加密传输:在传输过程中,应该使用安全的通信协议(如HTTPS)来加密数据传输,以防止中间人攻击和数据泄露。
- 分离敏感信息:将密钥和密码字段分开存储,不要将它们混在一起。密钥可以存储在专门的密钥存储系统中,而密码字段只用于存储用户密码。
- 访问控制:确保只有授权的用户可以访问密钥和密码字段。使用访问控制策略和权限管理来限制对敏感信息的访问。
- 定期审计:定期审计密钥和密码字段的使用情况,及时发现潜在的安全问题并采取相应的措施。
总之,为了保护密钥和密码字段的安全,应该采取综合的安全措施,包括密钥管理、加密传输、分离存储、访问控制和定期审计。腾讯云提供了一系列安全产品和服务,如腾讯云密钥管理系统(KMS)和腾讯云安全组,可以帮助用户保护云计算环境中的敏感信息和数据安全。
相关·内容
3回答
我想实现一个无法读取存储在那里的数据的服务。
这样做的想法是,与密码管理器一样,我使用密码派生出一个不同于身份验证密钥的金库密钥,该密钥用于加密/解密数据。
如何加密和存储来自多个设备的数据,同时只共享金库密钥,允许新设备在所有其他设备脱机时加入,同时确保在客户端无法信任服务器的情况下,IV重用不会出现安全问题?
我不能直接使用金库密钥,因为我不知道在从新设备登录时可以使用哪些IVs,这就造成了IV重用的危险。当随机创建IVs时,NIST建议严格限制每个密钥2^32的加密,这对我来说有点太低了。我也不能信任服务器,所以我不能依赖服务器生成/发送要使用的下一个固定字段,因为它可能只向多个设备发送
浏览 0提问于2021-05-28得票数 0
回答已采纳
4回答
我在一个站点上测试一个登录名,它有一个标准的用户名条目和一个隐藏的密码输入。我选择用户名并发送字符串。我无法选择密码框,因为是selenium.common.exceptions.ElementNotVisibleException: Message: element not visible,所以我这样做:
login = driver.find_element_by_xpath('/html/body/div/div/div/div/div/div/div/div/input[1]')
login.send_keys(foo)
login.send_keys(Keys.TAB
浏览 6提问于2017-09-13得票数 0
1回答
所以我正在开发我的加密应用程序,使用RSA加密。目前,我提出了这样的算法:
= auth更新=
截图:
在这种情况下,私钥只从密码生成,而服务器只知道密码散列只是为了授权用户(未散列的密码从未传输到服务器),因此无法生成私钥或解密任何旧消息。如果服务器将伪造一个公钥配方将无法验证签名与发送者的私钥加密。
问题是,当发送者在服务上注册或请求更改密码时,服务器可以伪造发送者的私密、公钥和密码,而菜谱将无法检测到。那么,如何验证密钥不是由服务器伪造的呢?
浏览 0提问于2018-01-23得票数 0
我在Amazon上部署了自己的节点,后端/前端与它一起工作,它操作精细事务,执行事务,捕捉事件。现在,我想使用INFURA来代替维护自己的节点,并混淆了如何解决以下情况:
我在合同中有两种功能,只对业主有效,并受修饰符的保护。在我自己的节点上,它的工作方式是这样的:首先,解锁契约创建者帐户(UI表单包含钱包密码字段),然后,如果成功,执行受保护的功能。只有当节点上有密钥文件时,才有可能。
但是,当我迁移到INFURA时,我将无法访问这个钱包,因此无法打开它。我只看到一种方法--询问创建者的证明密钥而不是密码,然后创建原始事务,签名并发送到网络。
问:这是执行受保护的函数的唯一方式,或者我忽略了
浏览 0提问于2017-11-21得票数 1
回答已采纳
让我们假设Alice@gmail.com想要向Bob@secureMail.com发送消息
艾丽斯<-> gmail.com <-> secureMail.com <-->鲍勃
我们知道gmail.com可以读取未加密的消息。secureMail.com是否有可能接收消息,以便只有Bob才能解密消息?
如果我的理解是正确的,secureMail.com将拥有一个ssl证书,gmail.com将使用secureMail的公钥进行加密,以便通信是安全的。这样secureMail.com就可以读取未加密的消息。不过,它可以在磁盘上持久化之前用Bob的公钥重新加密。
浏览 0提问于2015-05-28得票数 1
回答已采纳
5回答
在不知道用户密码的情况下验证用户
、、、、
我正在做一个项目,每个用户都有一个公共/私有RSA密钥对。用户可以使用每个目标用户的公钥向对方发送加密消息,这样只有目标用户才能读取消息(类似于PHP的openssl_封口)。由于我们希望用户能够使用任何设备来读取或发送消息,密钥对将存储在API服务器上,私钥将用用户的密码加密。
当用户从新设备登录时,他们将使用密码解密私钥。问题是,理想情况下,API服务器不应该能够解密用户的私钥,甚至对用户进行身份验证。最初,我只是向客户端发送加密的私钥,并让客户端对其解密。如果客户端可以解密,则它们必须具有正确的密码,但这将容易受到脱机字典攻击的攻击。为了防止这种情况,在给用户加密私钥之前,我需要对他们进
浏览 0提问于2013-12-04得票数 1
1回答
当我向API提交来自移动应用程序的POST请求时,我试图了解移动应用程序是如何加密密码的,这样我就可以制作一个python代码,它可以使用相同的算法向API发送加密的密码,就像移动应用程序一样。
我厌倦了捕捉移动应用程序的私有API,我收到了应用程序发送请求的请求,但有趣的是,应用程序在通过POST请求将密码发送到API之前对密码进行加密--这是密码在请求中的样子:
password=GmdKoBhIne4g3KR8JeR/Cg==
移动应用程序正在编码密码,当它向API发送请求时,我已经知道密码了,但是我想要的是捕捉这个移动应用程序加密密码的方式,加密类型不是Base64 (当然是lol),
浏览 12提问于2021-11-11得票数 1
回答已采纳
这是我们用来存储CC详细信息的模型,它看起来有多安全?
我们的所有信息都是使用公钥加密加密的,密钥对是用户依赖的(它在服务器上生成,私钥是使用用户密码对称加密的,这也是在数据库上散列的),所以基本上在第一次运行时,用户通过SSL连接发送他的密码,密码与盐一起使用来生成MD5散列,密码也用于加密私钥,私钥存储在服务器上。当用户想要付款时,他发送他的密码。密码解密私钥,私钥解密CC明细,CC明细计费。
浏览 0提问于2010-03-17得票数 3
回答已采纳
我做了一些测试,发现Chrome的内存转储在登录到该站点后不保存gmail.com/Google的密码(登录发生在accounts.google.com上)。
(我的系统是Windows 10 64位专业版,Chrome 60)。
我可以找到所有我测试过的其他网站的密码。同样,当我在Firefox中这样做时,gmail.com密码将存储在内存转储中。这是Chrome特有的行为。
我尝试了很多方法来防止密码被存储在内存转储中。即使在提交表单之前,当我在密码字段中散列密码时,原始(未散列)密码也将包含在内存转储中。我试着用autocomplete="off",通过一个‘隐藏’字段和
浏览 0提问于2017-09-23得票数 25
我有一些经验,在构建基于PHP的网站与MySQL访问,存储加密的用户详细信息,但所有其他字段是纯文本。我最近的项目将需要将敏感数据存储在数据库中。
我想建立一个系统,用户可以访问自己的条目并查看纯文本结果,但是即使他能够访问其他人的条目,它们也会被加密,无法理解的字符串。
我对如何做到这一点有一个想法,但是它可能不是最优的,或者已经有更有效的工具来做到这一点。
1.)将用户名存储为纯文本,并使用sha1()或更好的散列算法和随机盐等对密码进行散列。
2.)接受用户的密码(不是哈希密码,而是他输入的密码),并使用它定义特定于该用户名和密码的密钥,然后将其存储为会话变量。因为除了在用户的头脑中(以
浏览 0提问于2013-07-16得票数 9
1回答
我已将电子邮件和加密文件复制到新的Ubuntu安装中,如下所示:
从旧桌面导出GnuPG密钥,并在新桌面上导入。(以及其他密码和密钥)
打开进化论旧桌面,选择File > Back up Evolution Data...。把文件复制过来。在新桌面上打开进化论,选择File > Restore Evolution Data...
在新的桌面上确认:
OpenPGP密钥ID出现在“演化帐户编辑器”中的“安全性”选项卡下(与旧桌面匹配)
GPG密钥出现在GNOME密码和密钥(又名海马)中。
然而,当我试图在新桌面上读取加密电子邮件时,进化论无法打开它们。它说“无法解析PGP/MIME
浏览 0提问于2017-05-02得票数 0
回答已采纳
我知道,出于安全原因,有必要(用盐)散列用户的密码,并将其与存储的散列密码进行比较,因此,如果其他任何人获得散列字符串,他将无法重新计算密码或在彩虹表中查找它。
这个方法中有一部分我不理解。假设我有一个标准的登录表单
<form method='post' action='login.php'>
<input type='text' name='user' />
<input type='password' name='password' />
浏览 0提问于2012-11-08得票数 4
回答已采纳
4回答
客户端用户密码的保留->>
我已经在这个网站上搜索了我的问题的答案,但我的问题并没有具体的答案,我想知道是否有人可以摆脱一些。
*问题*:如果我使用登录表单上的用户输入密码作为加密文件的密码,并将文件发送到服务器端,那么是否可以(并且安全)将用户密码封装在客户端。这个文件可以被欺骗的唯一方法是使用一个管理密码(第二个密码),这个密码只有服务器端知道,这意味着即使是用户也无法对其进行欺骗。
举个例子,比方说,我在winrar中使用用户输入的表单密码增加了一个密码。winrar文件被发送到服务器。现在,为了让服务器减少并获取密码,它需要使用其唯一的服务器端欺骗密码。
或者,也许不是使用
浏览 13提问于2011-09-25得票数 1
2回答
我正在做一个考试项目!我正在寻找一些密码保护技术,以保护mysql数据库中的longblob字段。这个字段用于存储试题。我希望这样做,即使有人侵入我的数据库,他不能访问该字段,除非他有一个特殊的密码/密码。
浏览 2提问于2012-11-04得票数 0
在word按下,是否可以在用户单击“忘记密码”页面后发送新密码?
事实上,我不想发送任何网址给用户电子邮件,可以带他们到任何网页。
此外,如果有可能,我只发送到键(没有链接),并在单击忘记密码后,用户重定向到该页面,在那里,他们输入的钥匙,在他们的电子邮件收到后,点击忘记密码按钮。
问候
浏览 0提问于2018-11-05得票数 0
1回答
SSH和GPG分别在密钥生成期间请求密码。GPG还(至少根据我的经验)显示警告,如果一个没有提供,并要求确认没有安全确实是可取的。
因此,提供这样的密码似乎是很重要的。
但是,假设磁盘完全加密,我真的不明白为什么?
我(可能有缺陷)的想法如下。这些是对私钥的威胁:
设备盗窃;但是如果有人偷了一个关机的设备,那么FDE已经保护了我不被这样做(至少在小偷确定要对我进行橡胶软管解密之前);
短暂的物理访问;但在这种情况下,不管是哪种方式,我都被浇灌了;
我的电脑被破坏了,有人成功地在我的设备上安装了恶意软件;但在这种情况下,我又被用任何一种方式冲洗,因为我安装了一个盗取我密码的键盘记录器。即使攻击者
浏览 0提问于2018-12-09得票数 3
我觉得把用户名和密码从移动/web应用程序的每个https请求发送到后端api是不是个坏主意,但我不能拿出太多好的理由来解释为什么。
在服务器中,我们将密码的哈希存储在用户记录中。在任何情况下,对于每个请求,我们都需要从数据库加载这个用户记录,例如,检查用户是否只是被列入黑名单。由于我们需要在每个请求上加载用户记录,所以比较密码不需要花费任何费用,这样就不需要管理另一个sessionID或令牌数据库。
另外,由于密码是在https连接中发送的,所以它们无法被中间的人捕获。而且,即使中间有人可以这样做,当用户需要第一次登录时,他也可能会这样做(因为无论如何,他需要在开始时发送密码)。
那么,好办
浏览 3提问于2018-01-17得票数 12
回答已采纳
我在试着理解加密是如何工作的。
据我理解,密钥是与密码文本一起发送的。如果这是真的,我不明白攻击者如何无法获得密钥。如果这不是真的,我不明白目标接收者如何获得解密所需的密钥。
你能解释一下吗?
浏览 0提问于2016-11-30得票数 -6
1回答
SSH密码存储
、、、、
存储ssh密码的文件的结构是怎样的(keys/path/rundeck.password)?
10:37:39 OPNsense1无法读取存储在路径:keys/ read中的SSH密码。密码: org.rundeck.storage.api.StorageException:路径不存在:密钥/read。密码
10:37:39失败: ConfigurationFailure:无法读取存储在路径keys/rundeck.password中的密码
为什么会出现这个错误?
10:37:39项目中SRV2012LAB执行失败: 16:[工作流结果:,步骤失败:{1个节点上的1=Dispatch失败: O
浏览 2提问于2017-08-29得票数 0
1回答
我正在尝试编写一个云存储应用程序,在这个应用程序中,用户上传的所有内容都是服务器(加密的客户端)在发送之前无法读取的。
目前,流程如下:
用户输入密码
加密密码,并采用256位SHA-3散列。
生成了一个新的真随机密钥。
密码哈希被用作加密随机密钥和IV (AES-256-CCM)的密钥。
随机密钥的加密副本被发送到服务器以供存储。
当用户登录时,他们下载并解密这个文件,再次使用密码。
随机密钥/IV对用于加密用户文件
我使用带有固定盐的散列作为加密密钥有多糟糕?有更好的方法吗?问题是,每次我都需要每个密码来生成完全相同的密钥,而如果没有固定的盐,以及加密操作中的固定IV,我就无法做到这一点。
浏览 0提问于2013-07-20得票数 10
1回答
在我的react本机应用程序中,我无法将登录名和密码保存到密钥链中。它是功能性的,但是,它保存了不正确的用户名。
电子邮件,名字,姓氏,密码和确认密码是我在我的订单中登记页面的文本框。
但是,我给出了电子邮件字段textContentType='username‘和password字段textContentType='password’。但是,默认情况下,它使用姓氏作为用户名。它似乎忽略了我的textContentType。
我知道社区中也出现了类似的问题,但我正在寻找任何更新或可能的解决方案,而不是重新安排字段?
浏览 7提问于2022-05-19得票数 1
1回答
抱歉,如果这是一个愚蠢的问题,但请允许我描述一下我面临的困境:
假设我使用密码& PBKDF2保护设备上的私钥。最明显的攻击是一种离线暴力攻击,攻击者可以通过它知道用于保护私钥的密码,并且还可以访问私钥。
由于一个非常重要和不可透露的原因,用于保护这个私钥的密码有一个很小的搜索空间,即它并不复杂,而且长度很短。
我脑海中的控制是:
在设备上生成密钥对,但将公钥发送到后端。公钥将不会与私钥存储在同一设备上。这将减轻暴力攻击,因为攻击者不会知道解密的blob是否是私钥,而无法将其与相应的已知公钥关联起来。(希望这是合理的)
用PBKDF2加密私钥,不向对手提供“已知明文”,比如--开始使用
浏览 0提问于2016-05-20得票数 2
回答已采纳
很抱歉这个问题看起来很明显,但无论出于什么原因,我都无法在苹果的文档中找到关于Settings.bundle密码信息存储在哪里以及如何存储的明确答案。我的问题是:如果我需要存储应用程序的一些凭据,并且我使用Settings.bundle,以便在苹果设置区域的PSTextFieldSpecifier文本字段中输入密码( IsSecure = YES ),然后我使用CFPreferencesCopyAppValue从我的应用程序中访问该值,而从不将其写入NSUserDefaults,只通过网络安全地发送它,那么与在我自己的应用程序设置中使用密钥链存储和检索密码相比,这种存储和检索方法的安全性如何?
浏览 1提问于2009-08-08得票数 10
回答已采纳
1回答
我想要同步我的浏览数据与多个设备,但我肯定,作为地狱,我不想分享我的数据与第三方(无论他们声称)。我以前读过,通过Firefox保存的数据是加密的,从而阻止Mozilla对其进行解密。我读过很少关于Firefox的文章,但我仍然不知道是什么原因阻止Mozilla解密这些数据。
当我在firefox.com上创建帐户时,我输入了密码(两次)。这个密码可以发送到Mozilla的服务器。当然,最好的做法是先在JavaScript中散列,但我还没有检查。这一页可以做任何事情,作为外行,我认为是最坏的。
现在,我使用相同的密码在浏览器中登录到Firefox。因此,Sync的唯一秘密是与Mozilla共享
浏览 0提问于2018-05-31得票数 6
我处在一个棘手的情况下,我正在编写一个应用程序,使用我公司的电子邮件帐户向客户发送电子邮件。这里的问题是,我必须拥有该帐户的密码,才能使服务器上的邮件服务从该帐户发送电子邮件。我知道密码永远不应该以纯文本形式存储,特别是用于重要电子邮件帐户的密码。这里的两难境地是,程序需要有实际的纯文本密码来发送电子邮件,所以它需要存储在程序可以访问的地方。该程序使用MySQL数据库存储信息,因此在我的脑海中有三种选择:
1)将密码存储在程序的内存中,即私有的最终字符串字段。
2)服务器上的文件,可从中读取密码
3)在MySQL数据库中的某处。
我认为1是最安全的选择,但是有没有人有办法处理这种情况,以最大限
浏览 1提问于2012-04-13得票数 3
回答已采纳
我正在读一本关于密码学的书,我被困在一个问题中。我真的几个星期来一直在努力解决这个问题。但我认为问题是我无法理解整个情况。问题是这样的:
我们对一个基于LFSR的流密码进行已知的明文攻击.我们知道,所发送的明文如下:
1001 0010 0110 1101 1001 0010 0110
通过点击通道,我们观察到以下流:
1011 1100 0011 0001 0010 1011 0001
1- What is the degree m of the key stream generator?
2- What is the initialization vector?
3- Determine
浏览 6提问于2014-04-13得票数 0
回答已采纳
理论上,使用注册令牌登录可以在一步内完成.
服务器通过登录表单发送质询。
用户响应用户名,密码和签名的挑战。
但是FIDO协议增加了一个额外的步骤..。
用户提交用户名/密码
服务器向用户发送质询
客户提交签名质疑
额外步骤的安全理由是什么?
浏览 4提问于2017-03-26得票数 0
回答已采纳
我想知道在建立ssh连接的幕后发生了什么,我的意思是,直到我们从Linux机器在Linux的外壳上登陆。我知道密码不是在ssh连接中以纯文本发送的。那么他们做了什么来加密连接。在这里,我假设我没有生成我的公钥/私钥。我使用密码进行身份验证。所以我认为在连接之前不可能交换钥匙。我搜索了谷歌和服务器故障,但没有点击。在服务器错误中,我最接近的就是这个帖子在执行密钥协商时,ssh到底发送了什么?。
上述帖子假设用户通过公开密钥交换进行连接。但是我正在寻找一个不需要公钥/私钥的连接的情况。在我输入密码之前,它如何加密连接。它用什么来保护连接,这样密码就不会发送纯文本?
浏览 0提问于2011-06-11得票数 6
回答已采纳
1回答
我已经开始阅读一些关于权力分析(SPA,DPA)的文章,我不清楚在什么样的情况下人们会害怕这样的攻击。在我看来,典型的情况是
场景A:将密钥存储在智能卡上的纯文本中,在向智能卡发送加密/解密请求时进行分析,并有效地获得密钥。
但是我更感兴趣的是
场景B:密钥存储在设备上(智能卡?)。在正常操作期间,将发送密码(解密密钥所需的)以及由解密密钥执行的加密/解密请求。现在的假设是攻击者不拥有密码。
通过权力分析还能得到密码吗?(根据我的想象,唯一能做的事就是输入错误的密码。)根据我的理解,场景B不容易受到权力分析的影响,还是我错了?
浏览 0提问于2017-07-29得票数 1
回答已采纳
我已经完成了一个带有安全后端和散列密码的web应用程序,现在我正在开发一个Android版本。我使用SQLCipher将所有关键数据存储在加密的数据库中,并使用用户的密码对其进行加密。我试着告诉你我的问题在哪里:
用户登录到web应用程序
用户更改密码
USer登录Android应用程序
现在密码已经更改了,我无法解密我的数据库,因为我不再能够访问用来加密它的密码。
我不想将用户的密码存储在任何地方的明文中,从服务器发送密码也不是一个选项。我该如何解决这个问题?
浏览 0提问于2017-03-24得票数 0
回答已采纳
2回答
我有一个python脚本,出于某种原因,我通过shell脚本执行该脚本(这里并不重要)。在我的脚本中,我基本上是获取一些url内容并向特定的人发送电子邮件。我已经为此添加了安全密钥链,使用如下内容:安全add-generic-password -s SMTP USERID -w PASSWORD
当从命令行运行时,系统提示我提供对“security”命令的keychain项的访问权限。在通过Keychain访问授予访问权限后,我可以运行脚本,它不再提示检索密码,并向我发送电子邮件。
但是Cron Job和Launchd没有给我想要的输出。在谷歌了一下之后,我发现cronjob没有访问密钥链的权
浏览 2提问于2017-12-01得票数 2
我正在考虑在我的CrashPlan帐户中启用存档密钥密码。我想了解这个特性有多安全。
CrashPlan 存档密钥密码的文档说(强调后加):
与使用帐户密码保护加密密钥不同,您选择使用一个额外的密码(称为存档密钥密码)来保护密钥。只有安全的加密密钥存储在CrashPlan服务器上。 ...密钥使用存档密钥密码加密,如果丢失或忘记存档密钥密码,则存储在主server ...上:没有启用存档问题的... :如果存档密钥密码丢失或忘记,则无法重置存档密钥密码。您将无法恢复文件,您必须重新开始使用一个新帐户。
然后描述Archive问题特性:
如果您的存档密钥密码丢失或忘记,并且启用了此功能,则可以回
浏览 0提问于2016-12-21得票数 3
回答已采纳
1回答
如何共享密码但隐藏字符
、、、、
我需要共享和发送密码,以便在程序中解锁文档和用户级别。我希望能够发送一个密码,该密码被封锁或隐藏在###或*我希望接收者能够复制并粘贴到密码字段中,而不会让他们看到实际的密码。是否有一个工具可以生成这样的密码?有没有更好的方法来做我需要做的事?
谢谢
加里
浏览 1提问于2013-07-18得票数 0
1回答
防止所有攻击向量的用户身份验证
、、、、
经过大量的研究,我无法确定我的系统是否足够安全。
用户有一个移动电话,并通过传递他们的用户名、密码和一个现在登录到中央授权服务器。密码都将被散列。
用户名,密码将预先生成,并通过带外方法提供给用户.也就是说,没有注册页面,用户名、分配给用户的密码永远不会被泄露。
用户将收到一个有效期为12小时的jwt。
对于任何post或get请求,用户必须按照通用标准在header中添加jwt
服务器完全可以被信任。
现在我的怀疑是,
如果有人截取从移动中发送的数据包,他可以获得jwt令牌,该令牌可用于发送来自黑客的请求。是什么阻止黑客通过在请求中添加jwt来发送请求?
如果从移动进入和传出的数据包在登录阶
浏览 0提问于2016-11-24得票数 0
1回答
如何保护密码字段免受恶意输入?
、、、、
出于安全考虑,我目前正在为我的应用程序输入字段应用输入验证。删除特殊字符或应用正则表达式对于大多数字段来说都是一项工作,但我对密码感到困惑,因为合法密码很可能包含特殊字符。
如何在不使合法密码无效的情况下保护此字段不受恶意攻击?注意:我无法控制实际密码所遵循的规则。
我目前在下面的位置不允许任何非字母数字字符,但大多数良好的密码将包含特殊字符。
NSString *pattern = @"^(?:\\n|\\w)+$";
浏览 1提问于2015-08-12得票数 1
回答已采纳
3回答
因此,我正在处理一个网站关注,我是一个中级程序员,我是在一个网站上购物,我已经听到其他朋友使用。当我注册我的帐户时,他们将我的密码以纯文本形式发回我的电子邮件。我一直认为,在html表单中,如果您对密码进行了散列并将其发送到服务器,则无法以纯文本的形式发送密码。我假设我做的网站帐户是哈希密码,但我没有办法知道。我不是什么安全专家,但我很确定他们不会对密码进行哈希运算,而且可能会将我的数据以纯文本形式存储在他们的服务器上。我的结论正确吗?
浏览 0提问于2018-09-22得票数 0
回答已采纳
1回答
我目前使用的是不允许https连接的免费主机,由于我的网站不托管任何敏感或隐私内容,因此我不会仅仅为了拥有而升级到付费主机。但是,由于我的站点确实处理密码,而且许多用户对不同的站点使用相同的密码,因此我希望在处理这些密码时使用合理的安全性/加密。
从上看,在密码通过网络发送时,使用公共/私有密码加密来保护它的最大问题是,攻击者可以修改发送到客户端的公共密钥,然后截获加密的密码,使用攻击者的私有密钥解密它,然后使用站点的公共密钥对其进行加密,然后将其发送到站点,这实质上是在一开始就破坏了加密的全部意义。
当然,任何加密都比没有加密要好,但我希望在不购买支持HTTPS的主机的情况下尽我所能,这就引
浏览 1提问于2012-08-03得票数 1
回答已采纳
我已经使用MySQL从Store和MySQL服务器8.0安装了apt工作台。服务器运行良好,我可以从终端访问MySQL shell。但是我在连接工作台到服务器时遇到了问题。我得到了
无法连接到数据库服务器您的用户“根”连接尝试失败到本地主机上的MySQL服务器:3306: AppArmor策略阻止此发送方向此收件人发送此消息;type="method_call“comm="/snap/mysql-workbench-community/5/usr/bin/mysql- sender=":1.125“(uid=1000 pid=7944 wo”label="sna
浏览 0提问于2020-05-21得票数 98
回答已采纳
1回答
在过去的几天里,我创建了韦伯基。这样,任何网站都可以使用更高的安全性和方便性来进行单一密码验证(如果密码尚未过期,则使用单一密码,可能有几个小时或几天的过期时间;如果密码尚未过期,则不需要输入文本)。
它使用在浏览器中生成的RSA密钥,使用aes以加密形式存储.用户的密码从未通过互联网发送(即使是以加密的形式发送)。此实用程序可以完全静态地承载(目前正在http://webkey-auth.github.io/guest.html托管)。
我在这里做的理论上是安全的吗?我认为这与发送用户名和密码相比可能是一个巨大的改进--这是目前互联网安全中最薄弱的环节。这是如何工作的潜在问题?
浏览 0提问于2016-04-04得票数 0
在从17.10升级到18.04之后,我的系统在重新启动后变得迟钝。
我已经启用了自动登录,所以这仍然有效,但任何后续行动都是非常缓慢的。在引导过程中,错误报告运行并要求我发送错误报告,但是在发送时,我开始输入密码,但是窗口会冻结,因此我无法再做任何事情。我只能重新启动(魔法REISUB)
(对于任何具有存储密码的应用程序,例如Chrome,都会发生这种情况)。
我怎么解决这个问题?
浏览 0提问于2018-04-27得票数 1
回答已采纳
1回答
我正在开发一个web应用程序,它与不具备OAuth功能的第三方集成,而是使用各种帐户ID和密钥来为API调用生成令牌。
在前端,我们创建了一个文本字段来粘贴客户在第三方帐户上生成的帐户密钥文件内容。
问题:
从安全的角度来看,将该文件上传到web应用程序后端的最佳方法是什么?
我做了一些快速搜索,发现密码是通过互联网发送的纯文本,因为他们是通过SSL安全的。最好将相同的逻辑扩展到私钥,还是有更好的方法将其传输到后端?
谢谢
浏览 0提问于2021-07-08得票数 0
回答已采纳
5回答
除了定期的现场备份(保存在防火保险箱内)外,我们还每月在场外发送一次磁带,用AES加密。因此,如果我们的网站有一天被外星热射线蒸发,我们至少应该有一个最近的备份,以恢复。
但128位加密密钥仅存储在现场。因此,在真正的灾难中,我们实际上只剩下一个加密备份,而无法解密它。
问:在场外存储加密密钥的最佳策略是什么?
无论我们选择哪种方法都需要通过安全审核,所以“在家保存副本”是不够的,“把它保存在场外磁带中”显然违背了加密的目的。我们正在考虑的几种选择包括:
银行里的保险箱
以密码保护的形式存储在云中或地理上的独立网络上(例如使用Keepass或密码安全软件)
当然,第二个选项提出了另一个问题:我
浏览 0提问于2013-02-05得票数 17
回答已采纳
我不知道在什么地方我能找到我想要的东西,但我还是会问它,-:)
我需要每天在PC XP窗口上编辑普通的txt文件(我使用记事本文件- file.txt),然后我通过ssh (使用反射ftp客户端)将该文件发送到其他Linux机器(众所周知,我需要在ftp客户机中输入登录名和密码),备注-由于安全问题,我无法在Linux机器上编辑file.txt。
我的目标是按照以下过程自动化此过程:
编辑file.txt文件并将其保存在我的PC上
将这个file.txt自动发送到Linux机器,只需一次单击就可以输入登录/密码--目标是通过向file.txt文件添加按钮找到一些解决方案,通过单击此按钮
浏览 3提问于2011-12-07得票数 0
我们的密码库有:
每日生活津贴(4096,512)
卫生署(4096)
AES (256)
民政事务局局长(512)
让我们假设这些是直接在硬件中实现的,这样就不可能尝试取出碎片,而且CPU的速度也不足以实现密码本身。
我们是否可以开发一种协议,允许我们交换公钥,并在稍后的某个日期通过信使发送消息,或者一些不假定实时通信的方式。也就是说,DH不会直接工作,因为消息往返时间长得令人无法忍受.
从理论上讲,这个问题比我在这里可能得到的任何实际手段都有趣。
浏览 0提问于2016-07-14得票数 2
回答已采纳
在克拉克-攻击文件中,6.3节指出,当消息3被重新发送时,Android设备上的一个漏洞涉及安装一个全零加密密钥。
在他的示范中,他通过Wireshark显示用户的凭据是以明文发送的。
如果密码的密钥为零,那么任何算法怎么能得到与明文相等的密码呢?我漏掉了什么吗?
浏览 0提问于2018-01-21得票数 5
回答已采纳
4回答
如果使用密码加密设备,则无法使用法医发现检索存储在设备上的数据。
密码本身呢?这也是加密的吗?
法医分析人员能否简单地以真实的形式检索密码并将其用于解密设备的其余部分?
浏览 0提问于2015-11-05得票数 3
回答已采纳
3回答
我正在使用RabbitMQ,并且我有一个保存电子邮件消息的队列。我的使用者服务将消息出队并尝试发送它们。如果由于任何原因,我的使用者无法发送消息,我希望将消息重新排队以再次发送。我意识到我可以执行一个basicNack并将requeue标志设置为true,但是,我不想无限期地重新排队消息(例如,如果我们的电子邮件系统崩溃,我不想不断地重新排队未发送的消息)。我想定义一个有限的次数,我可以重新排队要再次发送的消息。但是,当我将其出队并发送nack时,我无法在电子邮件消息对象上设置字段。队列中的消息上不存在已更新的字段。有没有其他方法可以解决这个问题?提前谢谢。
浏览 3提问于2014-04-19得票数 78
回答已采纳
2回答
“我的世界”使用启动器来减少游戏被盗的情况:任何人都可以免费下载,但用户必须提供高级帐户的凭据才能更新游戏。我想为一个项目构建一个类似的启动器(用Ruby),但我在弄清楚如何安全地将密码发送到HTTP服务器(如果重要的话,是用Sinatra编写的)时遇到了麻烦。显然,将它作为参数放在URL中是一个非常糟糕的主意。
另外,我想过用密码字段发送它,但我不知道它们是如何工作的(我通常不做HTTP的东西)。这仍然是一种可能性。
简而言之:在Ruby中,我想通过HTTP请求向Ruby/Sinatra服务器发送敏感信息。
感谢你阅读这篇文章!
浏览 0提问于2012-06-25得票数 1
回答已采纳
在Windows上,我为我的应用程序生成了一个iOS证书,具体步骤如下:
它生成一个名为ios-development.cer的文件。
当我试图浏览并找到该文件以将其添加到相关Netbeans窗口的调试部分的“证书”中时(请参见下面的图),该文件将不会显示在文件查找器中(因为wizzard希望看到一个扩展名不同的文件)。
此外,在证书生成过程中,我从来不需要添加密码,所以在密码字段中我没有得到哪个密码?
任何帮助都很感激。
浏览 1提问于2015-07-23得票数 0
回答已采纳
我在某个地方读到,如果密码有一个已知的明文攻击,那么它就被认为是完全破坏的。
假设有人在理解算法的地方使用密码,而已知的明文攻击执行起来非常简单,然而,仅使用密文攻击就像蛮力一样不切实际。例如,密钥长度等于消息长度的XOR-密码。
如果用户更改了发送的每条消息的密钥,那么已知的明文攻击有什么用呢?
一直以来,我的理解是,如果一个人找到了他们已经知道的信息的关键,而没有其他任何信息,那就像根本无法执行已知的明文攻击一样无用。
那么,在一个密钥从未不止使用过一次的世界中,一个已知的明文攻击有什么用(实际上是一个便携键盘)?这怎么会是“彻底的突破”?
浏览 0提问于2016-07-18得票数 14
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
