การซ่อนรหัสผ่านในสคริปต์ python (การทำให้สับสนไม่ปลอดภัยเท่านั้น)

ฉันมีสคริปต์ python ซึ่งกำลังสร้างการเชื่อมต่อ ODBC การเชื่อมต่อ ODBC ถูกสร้างขึ้นด้วยสตริงการเชื่อมต่อ ในสตริงการเชื่อมต่อนี้ฉันต้องใส่ชื่อผู้ใช้และรหัสผ่านสำหรับการเชื่อมต่อนี้

มีวิธีง่ายๆในการปิดบังรหัสผ่านนี้ในไฟล์หรือไม่ (เพียงแค่ว่าไม่มีใครสามารถอ่านรหัสผ่านได้เมื่อฉันแก้ไขไฟล์)

การเข้ารหัส Base64อยู่ในไลบรารีมาตรฐานและจะหยุดยั้งนักเล่นไหล่:

>>> import base64
>>>  print(base64.b64encode("password".encode("utf-8")))
cGFzc3dvcmQ=
>>> print(base64.b64decode("cGFzc3dvcmQ=").decode("utf-8"))
password

Douglas F Shearer เป็นโซลูชันที่ได้รับการรับรองโดยทั่วไปใน Unix เมื่อคุณต้องการระบุรหัสผ่านสำหรับการเข้าสู่ระบบระยะไกล
คุณเพิ่มตัวเลือก- รหัสผ่านจากไฟล์เพื่อระบุเส้นทางและอ่านข้อความธรรมดาจากไฟล์
จากนั้นไฟล์จะอยู่ในพื้นที่ของผู้ใช้เองที่ระบบปฏิบัติการป้องกันไว้ นอกจากนี้ยังช่วยให้ผู้ใช้ที่แตกต่างกันสามารถเลือกไฟล์ของตนเองโดยอัตโนมัติ

สำหรับรหัสผ่านที่ผู้ใช้สคริปต์ไม่ได้รับอนุญาตให้รู้คุณสามารถเรียกใช้สคริปต์โดยได้รับอนุญาตอย่างละเอียดและมีไฟล์รหัสผ่านที่เป็นของผู้ใช้ root / admin นั้น

นี่คือวิธีการง่ายๆ:

1. สร้างโมดูล python - เรียกว่า peekaboo.py
2. ใน peekaboo.py ให้ใส่ทั้งรหัสผ่านและรหัสที่ต้องใช้รหัสผ่านนั้น
3. สร้างเวอร์ชันคอมไพล์ - peekaboo.pyc - โดยการนำเข้าโมดูลนี้ (ผ่าน python commandline ฯลฯ ... )
4. ตอนนี้ลบ peekaboo.py
5. ตอนนี้คุณสามารถนำเข้าจ๊ะเอ๋ได้อย่างมีความสุขโดยอาศัยเพียง peekaboo.pyc เนื่องจาก peekaboo.pyc คอมไพล์เป็นไบต์จึงไม่สามารถอ่านได้สำหรับผู้ใช้ทั่วไป

สิ่งนี้ควรจะปลอดภัยกว่าการถอดรหัส base64 เล็กน้อยแม้ว่าจะเสี่ยงต่อการถอดรหัส py_to_pyc ก็ตาม

หากคุณกำลังทำงานบนระบบ Unix ให้ใช้ประโยชน์จากโมดูล netrc ในไลบรารี Python มาตรฐาน มันอ่านรหัสผ่านจากแยกไฟล์ข้อความ (.netrc) ซึ่งมีรูปแบบที่อธิบายที่นี่

นี่คือตัวอย่างการใช้งานเล็กน้อย:

import netrc

# Define which host in the .netrc file to use
HOST = 'mailcluster.loopia.se'

# Read from the .netrc file in your home directory
secrets = netrc.netrc()
username, account, password = secrets.authenticators( HOST )

print username, password

ทางออกที่ดีที่สุดสมมติว่าผู้ใช้ไม่สามารถกำหนดชื่อผู้ใช้และรหัสผ่านขณะรันไทม์ได้น่าจะเป็นซอร์สไฟล์แยกต่างหากที่มีการกำหนดค่าเริ่มต้นตัวแปรสำหรับชื่อผู้ใช้และรหัสผ่านที่นำเข้าสู่รหัสหลักของคุณ ไฟล์นี้จะต้องแก้ไขเมื่อข้อมูลรับรองเปลี่ยนไปเท่านั้น มิฉะนั้นหากคุณกังวลเกี่ยวกับนักเล่นไหล่ที่มีความทรงจำโดยเฉลี่ยการเข้ารหัส 64 ฐานอาจเป็นทางออกที่ง่ายที่สุด ROT13 นั้นง่ายเกินไปที่จะถอดรหัสด้วยตนเองไม่คำนึงถึงขนาดตัวพิมพ์และยังคงความหมายไว้มากเกินไปในสถานะเข้ารหัส เข้ารหัสรหัสผ่านและรหัสผู้ใช้ของคุณนอกสคริปต์ python ให้เขาถอดรหัสสคริปต์ที่รันไทม์เพื่อใช้งาน

การให้ข้อมูลรับรองสคริปต์สำหรับงานอัตโนมัติเป็นข้อเสนอที่มีความเสี่ยงเสมอ สคริปต์ของคุณควรมีข้อมูลประจำตัวของตัวเองและบัญชีที่ใช้ไม่ควรมีสิทธิ์เข้าถึงนอกเหนือจากสิ่งที่จำเป็น อย่างน้อยรหัสผ่านควรยาวและค่อนข้างสุ่ม

วิธีการนำเข้าชื่อผู้ใช้และรหัสผ่านจากไฟล์ภายนอกไปยังสคริปต์ ด้วยวิธีนี้แม้ว่าจะมีคนถือสคริปต์ แต่ก็จะไม่ได้รับรหัสผ่านโดยอัตโนมัติ

base64 คือหนทางที่จะตอบสนองความต้องการง่ายๆของคุณ ไม่จำเป็นต้องนำเข้าสิ่งใด:

>>> 'your string'.encode('base64')
'eW91ciBzdHJpbmc=\n'
>>> _.decode('base64')
'your string'

สำหรับpython3 obfuscation โดยใช้base64นั้นแตกต่างกัน:

import base64
base64.b64encode(b'PasswordStringAsStreamOfBytes')

ซึ่งส่งผลให้

b'UGFzc3dvcmRTdHJpbmdBc1N0cmVhbU9mQnl0ZXM='

สังเกตการแสดงสตริงแบบไม่เป็นทางการสตริงจริงอยู่ในเครื่องหมายคำพูด

และถอดรหัสกลับเป็นสตริงเดิม

base64.b64decode(b'UGFzc3dvcmRTdHJpbmdBc1N0cmVhbU9mQnl0ZXM=')
b'PasswordStringAsStreamOfBytes'

เพื่อใช้ผลลัพธ์นี้ในกรณีที่ต้องใช้สตริงอ็อบเจ็กต์สามารถแปลอ็อบเจ็กต์ไบต์ได้

repr = base64.b64decode(b'UGFzc3dvcmRTdHJpbmdBc1N0cmVhbU9mQnl0ZXM=')
secret = repr.decode('utf-8')
print(secret)

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจับ python3 ไบต์ (และสตริงตาม) โปรดดูเอกสารอย่างเป็นทางการ

นี่เป็นปัญหาที่พบบ่อย โดยทั่วไปแล้วสิ่งที่ดีที่สุดที่คุณสามารถทำได้คือทำอย่างใดอย่างหนึ่ง

A) สร้างฟังก์ชันการเข้ารหัสซีซาร์เพื่อเข้ารหัส / ถอดรหัส (ไม่ใช่ rot13) หรือ

B) วิธีการที่ต้องการคือการใช้คีย์เข้ารหัสซึ่งอยู่ใกล้กับโปรแกรมของคุณเข้ารหัส / ถอดรหัสรหัสผ่าน ซึ่งคุณสามารถใช้การป้องกันไฟล์เพื่อป้องกันการเข้าถึงคีย์

ตามบรรทัดเหล่านี้หากแอปของคุณทำงานเป็นบริการ / daemon (เช่นเว็บเซิร์ฟเวอร์) คุณสามารถใส่คีย์ของคุณลงในที่เก็บคีย์ที่มีการป้องกันด้วยรหัสผ่านโดยใส่รหัสผ่านเป็นส่วนหนึ่งของการเริ่มต้นบริการ ผู้ดูแลระบบจะต้องรีสตาร์ทแอปของคุณ แต่คุณจะมีการตรวจสอบรหัสผ่านการกำหนดค่าที่ดีมาก

ระบบปฏิบัติการของคุณอาจมีสิ่งอำนวยความสะดวกสำหรับการเข้ารหัสข้อมูลอย่างปลอดภัย ตัวอย่างเช่นบน Windows มี DPAPI (data protection API) ทำไมไม่ขอข้อมูลรับรองจากผู้ใช้ในครั้งแรกที่คุณเรียกใช้แล้วกระรอกพวกเขาออกไปโดยเข้ารหัสสำหรับการเรียกใช้ในภายหลัง

การประเมินแบบพื้นบ้านมากกว่าการแปลงการรับรองความถูกต้อง / รหัสผ่าน / ชื่อผู้ใช้เป็นรายละเอียดที่เข้ารหัส FTPLIBเป็นเพียงตัวอย่าง " pass.csv " คือชื่อไฟล์ csv

บันทึกรหัสผ่านใน CSV ดังต่อไปนี้:

user_name

user_password

(ไม่มีส่วนหัวของคอลัมน์)

การอ่าน CSV และบันทึกลงในรายการ

ใช้องค์ประกอบรายการเป็นรายละเอียดการพิสูจน์ตัวตน

รหัสเต็ม

import os
import ftplib
import csv 
cred_detail = []
os.chdir("Folder where the csv file is stored")
for row in csv.reader(open("pass.csv","rb")):       
        cred_detail.append(row)
ftp = ftplib.FTP('server_name',cred_detail[0][0],cred_detail[1][0])

นี่คือตัวอย่างของฉันสำหรับสิ่งนั้น โดยพื้นฐานแล้วคุณจะนำเข้าหรือคัดลอกฟังก์ชันไปยังรหัสของคุณ getCredentials จะสร้างไฟล์ที่เข้ารหัสหากไม่มีอยู่และส่งคืน dictionaty และ updateCredential จะอัปเดต

import os

def getCredentials():
    import base64

    splitter='<PC+,DFS/-SHQ.R'
    directory='C:\\PCT'

    if not os.path.exists(directory):
        os.makedirs(directory)

    try:
        with open(directory+'\\Credentials.txt', 'r') as file:
            cred = file.read()
            file.close()
    except:
        print('I could not file the credentials file. \nSo I dont keep asking you for your email and password everytime you run me, I will be saving an encrypted file at {}.\n'.format(directory))

        lanid = base64.b64encode(bytes(input('   LanID: '), encoding='utf-8')).decode('utf-8')  
        email = base64.b64encode(bytes(input('   eMail: '), encoding='utf-8')).decode('utf-8')
        password = base64.b64encode(bytes(input('   PassW: '), encoding='utf-8')).decode('utf-8')
        cred = lanid+splitter+email+splitter+password
        with open(directory+'\\Credentials.txt','w+') as file:
            file.write(cred)
            file.close()

    return {'lanid':base64.b64decode(bytes(cred.split(splitter)[0], encoding='utf-8')).decode('utf-8'),
            'email':base64.b64decode(bytes(cred.split(splitter)[1], encoding='utf-8')).decode('utf-8'),
            'password':base64.b64decode(bytes(cred.split(splitter)[2], encoding='utf-8')).decode('utf-8')}

def updateCredentials():
    import base64

    splitter='<PC+,DFS/-SHQ.R'
    directory='C:\\PCT'

    if not os.path.exists(directory):
        os.makedirs(directory)

    print('I will be saving an encrypted file at {}.\n'.format(directory))

    lanid = base64.b64encode(bytes(input('   LanID: '), encoding='utf-8')).decode('utf-8')  
    email = base64.b64encode(bytes(input('   eMail: '), encoding='utf-8')).decode('utf-8')
    password = base64.b64encode(bytes(input('   PassW: '), encoding='utf-8')).decode('utf-8')
    cred = lanid+splitter+email+splitter+password
    with open(directory+'\\Credentials.txt','w+') as file:
        file.write(cred)
        file.close()

cred = getCredentials()

updateCredentials()

วางข้อมูลการกำหนดค่าในไฟล์กำหนดค่าที่เข้ารหัส ค้นหาข้อมูลนี้ในรหัสของคุณโดยใช้คีย์ วางคีย์นี้ไว้ในไฟล์แยกกันตามสภาพแวดล้อมและอย่าเก็บไว้ด้วยรหัสของคุณ

คุณรู้จักพิทไหม?

https://pypi.python.org/pypi/pit (เฉพาะ py2 (เวอร์ชัน 0.3))

https://github.com/yoshiori/pit (จะทำงานบน py3 (เวอร์ชันปัจจุบัน 0.4))

test.py

from pit import Pit

config = Pit.get('section-name', {'require': {
    'username': 'DEFAULT STRING',
    'password': 'DEFAULT STRING',
    }})
print(config)

วิ่ง:

$ python test.py
{'password': 'my-password', 'username': 'my-name'}

~ / .pit / default.yml:

section-name:
  password: my-password
  username: my-name

หากทำงานบน Windows คุณสามารถพิจารณาใช้ไลบรารี win32crypt อนุญาตให้จัดเก็บและเรียกข้อมูลที่มีการป้องกัน (คีย์รหัสผ่าน) โดยผู้ใช้ที่กำลังเรียกใช้สคริปต์ดังนั้นรหัสผ่านจะไม่ถูกจัดเก็บในข้อความที่ชัดเจนหรือรูปแบบที่ซับซ้อนในรหัสของคุณ ฉันไม่แน่ใจว่ามีการใช้งานที่เทียบเท่ากับแพลตฟอร์มอื่นหรือไม่ดังนั้นด้วยการใช้ win32crypt อย่างเข้มงวดรหัสของคุณจึงไม่สามารถพกพาได้

ฉันเชื่อว่าโมดูลสามารถรับได้ที่นี่: http://timgolden.me.uk/pywin32-docs/win32crypt.html

วิธีที่ฉันได้ทำมีดังนี้:

ที่งูหลามเชลล์:

>>> from cryptography.fernet import Fernet
>>> key = Fernet.generate_key()
>>> print(key)
b'B8XBLJDiroM3N2nCBuUlzPL06AmfV4XkPJ5OKsPZbC4='
>>> cipher = Fernet(key)
>>> password = "thepassword".encode('utf-8')
>>> token = cipher.encrypt(password)
>>> print(token)
b'gAAAAABe_TUP82q1zMR9SZw1LpawRLHjgNLdUOmW31RApwASzeo4qWSZ52ZBYpSrb1kUeXNFoX0tyhe7kWuudNs2Iy7vUwaY7Q=='

จากนั้นสร้างโมดูลด้วยรหัสต่อไปนี้:

from cryptography.fernet import Fernet

# you store the key and the token
key = b'B8XBLJDiroM3N2nCBuUlzPL06AmfV4XkPJ5OKsPZbC4='
token = b'gAAAAABe_TUP82q1zMR9SZw1LpawRLHjgNLdUOmW31RApwASzeo4qWSZ52ZBYpSrb1kUeXNFoX0tyhe7kWuudNs2Iy7vUwaY7Q=='

# create a cipher and decrypt when you need your password
cipher = Fernet(key)

mypassword = cipher.decrypt(token).decode('utf-8')

เมื่อคุณทำเสร็จแล้วคุณสามารถนำเข้า mypassword โดยตรงหรือนำเข้าโทเค็นและรหัสเพื่อถอดรหัสได้ตามต้องการ

เห็นได้ชัดว่าแนวทางนี้มีข้อบกพร่องบางประการ หากมีคนมีทั้งโทเค็นและคีย์ (เช่นเดียวกับที่มีสคริปต์) พวกเขาสามารถถอดรหัสได้อย่างง่ายดาย อย่างไรก็ตามมันทำให้สับสนและหากคุณรวบรวมรหัส (ที่มีบางอย่างเช่น Nuitka) อย่างน้อยรหัสผ่านของคุณจะไม่ปรากฏเป็นข้อความธรรมดาในโปรแกรมแก้ไขเลขฐานสิบหก

สิ่งนี้ไม่ได้ตอบคำถามของคุณอย่างแม่นยำ แต่เกี่ยวข้องกัน ฉันกำลังจะเพิ่มเป็นความคิดเห็น แต่ไม่ได้รับอนุญาต ฉันได้จัดการกับปัญหาเดียวกันนี้แล้วและเราได้ตัดสินใจที่จะเปิดเผยสคริปต์ให้กับผู้ใช้ที่ใช้เจนกินส์ สิ่งนี้ช่วยให้เราจัดเก็บข้อมูลรับรองฐานข้อมูลในไฟล์แยกต่างหากที่เข้ารหัสและรักษาความปลอดภัยบนเซิร์ฟเวอร์และไม่สามารถเข้าถึงได้โดยผู้ที่ไม่ใช่ผู้ดูแลระบบ นอกจากนี้ยังช่วยให้เรามีทางลัดเล็กน้อยในการสร้าง UI และการควบคุมการดำเนินการ

คุณยังสามารถพิจารณาความเป็นไปได้ในการจัดเก็บรหัสผ่านนอกสคริปต์และการจัดเก็บรหัสผ่านขณะรันไทม์

เช่น fred.py

import os
username = 'fred'
password = os.environ.get('PASSWORD', '')
print(username, password)

ซึ่งสามารถเรียกใช้เช่น

$ PASSWORD=password123 python fred.py
fred password123

"การรักษาความปลอดภัยผ่านความสับสน" เพิ่มเติมสามารถทำได้โดยใช้ base64 (ตามที่แนะนำข้างต้น) โดยใช้ชื่อที่ไม่ชัดเจนในรหัสและทำให้รหัสผ่านจริงห่างไกลจากรหัสมากขึ้น

หากรหัสอยู่ในที่เก็บมักมีประโยชน์ในการจัดเก็บความลับภายนอกดังนั้นจึงสามารถเพิ่มสิ่งนี้ลงใน~/.bashrc(หรือในห้องนิรภัยหรือสคริปต์เรียกใช้งาน ... )

export SURNAME=cGFzc3dvcmQxMjM=

และเปลี่ยนfred.pyเป็น

import os
import base64
name = 'fred'
surname = base64.b64decode(os.environ.get('SURNAME', '')).decode('utf-8')
print(name, surname)

จากนั้นเข้าสู่ระบบอีกครั้งและ

$ python fred.py
fred password123

ทำไมไม่มี xor ง่ายๆ?

ข้อดี:

• ดูเหมือนข้อมูลไบนารี
• ไม่มีใครสามารถอ่านได้โดยไม่ต้องรู้คีย์ (แม้ว่าจะเป็นถ่านตัวเดียวก็ตาม)

ฉันมาถึงจุดที่ฉันจำสตริง b64 ง่ายๆสำหรับคำทั่วไปและ rot13 ได้เช่นกัน Xor จะทำให้ยากขึ้นมาก

import base64
print(base64.b64encode("password".encode("utf-8")))
print(base64.b64decode(b'cGFzc3dvcmQ='.decode("utf-8")))

มียูทิลิตี้ ROT13 หลายรายการที่เขียนด้วย Python บน 'Net - เพียงแค่ Google สำหรับพวกเขา ROT13 เข้ารหัสสตริงแบบออฟไลน์คัดลอกลงในแหล่งที่มาถอดรหัสที่จุดส่ง

แต่นี่คือการป้องกันที่อ่อนแอจริงๆ ...