密码的一些存储方式和安全传输建议
密码是软件系统中非常常见的属性,密码保存和传递都需要考虑如何才能不泄漏。
密码存储
密码在服务器都需要加密保存,根据用途不一样,有可逆加密(AES)和非可逆加密(PBKDF2)算法。
可逆加密方式存储
可逆加密一般是客户端保存密码,客户端需要还原出密码然后使用密码访问服务器。可逆加密的AES算法需要一个密钥,通过密钥加密和解密。因此AES算法的关键就是密钥。
通常的做法是密钥也加密存储,如果这么做,就是一个鸡和蛋的问题了。
解决这个问题的一个方法是提供一个 根密钥 和 工作密钥 。
1.根密钥 根密钥不加密存储,文件权限为600
2.工作密钥 工作密钥由根密钥加密得到,文件权限为600
3.密码使用工作密钥加密,不使用根密钥加密
3.密钥建议可以替换,以便及时修复密钥泄漏问题(最好没问题,有问题了尽量把影响降低到最小,有问题了能尽快修复)
非可逆加密方式存储
非可逆加密一般是服务端存储密码方式,因为服务端不需要逆向密码明文,服务端在校验密码的时候,有很多种方式。最常见的是把客户端发送过来的明文密码加密得到密文,与服务器保存的密文对比是否相等。
非可逆加密一般有一个随机盐值,保护好随机盐值,比可逆加密算法防护措施要简单。
密码传输
在很多场景下,需要在不同系统或进程之间传输密码,特别是不同的系统,传输密码比较麻烦。
1.不同系统之间,不能共享密钥(如果需要共享密钥的话非常复杂,读者们可以结合实际场景思考),所以不能传输加密之后的密码
2.如果通过命令行参数方式传输明文密码的话,又很容易通过操作系统的 ps 命令查看到(低权限级别的用户可以 ps 到高权限级别用户的进程)
3.将明文密码写到一个文件?密码不能明文存储啊!
一个典型的场景是调用mysql客户端连接mysql服务器时候,命令行参数传递密码。
当然,细心的读者发现这个例子不合适,因为你ps不到mysql客户端的密码!
mao 59402 9674 0 Apr29 pts/4 00:00:00 mysql -u root -px xxxxxxxx
对的,mysql 客户端是专门考虑了这种场景的。这也是一种解决这个问题的方案哦。
环境变量 ,对就是用环境变量传递明文密码。每个进程的环境变量保存在:
/proc/${pid}/environ
-r-------- 1 root root 0 May 1 22:00 environ
文件中,这个文件权限是 400 ,属主是当前运行进程的用户。也就是说,只有当前用户才可以看到此环境变量值,而其他用户是无法查看的,即使权限比当前用户高(root除外)!
相关文章
- 本文教大家如何找回密码,仅供参考,用于密码丢失的情况,不要做坏事哦2013-01-09
- 你还在为忘记密码无法开机而发愁吗?你还在为没有密码无法打开电脑而着急吗?本章将大家一个巧妙的小招数,让你轻松解开任何一个电脑的开机密码,非常实用2013-07-22
- PDF因为不易编辑,传输效果好,可以加密等特点深受大家的喜爱,在需要分享PDF文件到人数比较多的平台时,为了不让其他人可以随意地查看这个文件,我都会先对这个文件进行加2013-09-17
- 这篇文章主要为大家介绍了在linux下使用reaver破解无线wifi密码的下载安装使用方法,需要的朋友可以参考下2013-11-20
- 大家平时设置密码时,为了省事就设置很简单的密码,殊不知却留下了很大的安全隐患2013-12-06
- 互联网生活促成了庞大的账户密码数据,怎样设置自己登陆密码最安全?什么样的密码难破解?据媒体报道表情符号将成最安全的密码。2015-06-17
- 散列法会让黑客很难从散表中回到口令上,同时也会让网站保存一系列的散列,而不是将它们储存为安全性低的文本口令。这就意味着,即使散列的口令被偷窃,真正的纯文本口令也2016-05-25
- 很多安全专家反复提醒用户设置账户和密码时要尽可能多样化,以防被破解。黑客只要简单的使用暴力破解攻击。暴力破解攻击是指攻击者尝试所有的可能性破解用户的账户名、密码2016-05-26
- 本文总结了最差的密码前25名,看看自己有没有中招,另外给大家分析了设置密码的小技巧,肯定会让你受益匪浅2016-05-30
最新评论