คำถามติดแท็ก passwords

มีบางสถานการณ์ที่ผู้ใช้ต้องระบุรหัสผ่านขณะดำเนินการอัตโนมัติระหว่างกระบวนการพัฒนา การปรับใช้ไซต์เป็นหนึ่งในสถานการณ์ทั่วไปเท่านั้น การสร้างไฟล์ dmg ใน OS X ต้องใช้รหัสผ่านเช่นกัน ยูทิลิตี้บรรทัดคำสั่งส่วนใหญ่ที่ใช้ในสคริปต์มีความสามารถในการรับรหัสผ่านผ่าน stdin การให้รหัสผ่านในแต่ละครั้งสคริปต์จะถูกเรียกใช้เพื่อวัตถุประสงค์ในการ "อัตโนมัติ" การจัดเก็บเป็นข้อความธรรมดาในสคริปต์จะเอาชนะวัตถุประสงค์ของ "รหัสผ่าน" วิธีที่ดีที่สุดในการให้รหัสผ่านกับสคริปต์ที่ต้องการคืออะไร?

11 automation  passwords 

ขณะนี้ฉันกำลังจัดการและแยกส่วนซอฟต์แวร์ที่ใช้ใน บริษัท ของฉันมานานกว่าทศวรรษแล้ว หนึ่งในองค์ประกอบของแอปพลิเคชั่นนี้คือการเรียงลำดับของโหมดผู้ดูแลระบบหรือผู้ใช้ไฟซึ่งมีสิ่งต่าง ๆ เช่นอินพุตเพิ่มเติม / ภายในบางอย่างรวมถึงความสามารถในการปิดการ จำกัด การป้อนข้อมูล ในอดีตโหมดนี้เปิดใช้งานโดยการวางไฟล์ที่มีชื่อเฉพาะในสถานที่ที่ระบุในไดเรกทอรีระบบ windows (ซึ่งทั้งสองอย่างนั้นถูกเข้ารหัสอย่างหนักในแอปพลิเคชัน) ไฟล์ที่ถูกตั้งชื่อว่า 'something.DLL' แม้ว่ามันจะว่างเปล่า ไฟล์ ASCII ไม่ใช่ dll ดังนั้นเมื่อเร็ว ๆ นี้ฉันได้เพิ่มรหัสและรูปแบบคำกริยาเล็กน้อยที่อนุญาตให้ผู้ใช้ป้อนรหัสผ่านของผู้ดูแลระบบเพื่อเปิดใช้งานฟังก์ชันนี้ เป็นรหัสผ่านที่ตั้งไว้ไม่ใช่เฉพาะผู้ใช้ เมื่อป้อนรหัสผ่านที่ถูกต้องมันจะเรียงลำดับของสิ่งเดียวกันโดยสร้าง 'ไฟล์สำคัญ' ในไดเรกทอรีรากของแอปพลิเคชันเพื่อให้โปรแกรมสามารถเริ่มต้นในโหมดผู้ดูแลระบบหากมีไฟล์นั้นอยู่ ตอนนี้ผู้จัดการของแผนกที่ส่วนใหญ่ซอฟต์แวร์นี้ไม่ชอบความคิดนั้นมาก เขาคิดว่าถ้าเรามีรหัสผ่านง่าย ๆ ที่ตั้งไว้ล่วงหน้าว่ามันจะ 'ออกไป' ได้อย่างง่ายดายและเขาไม่ต้องการให้ผู้ใช้ที่ไม่มีประสบการณ์เข้าถึงคุณลักษณะพิเศษเหล่านั้น ดังนั้นคำถามของฉันคือมีวิธีการอื่นใดอีกบ้างที่ให้การเข้าถึงแบบนี้ที่ค่อนข้างปลอดภัยกว่า? มันเป็นเรื่องของฉันเมื่อพูดถึงการบำรุงรักษาและการจัดการซอฟต์แวร์นี้ดังนั้นสิ่งใดก็ตามที่ไม่ได้ติดตั้งภายในหรือโดยอัตโนมัติก็ไม่ได้ช่วยอะไรเลย (เช่นการส่งคำขอสำหรับ 'คีย์ใบอนุญาต' หรือสิ่งที่คล้ายกัน) หมายเหตุ: แอปพลิเคชันนี้เขียนขึ้นใน VB.NET (.NET 4.0) และขณะนี้ฉันกำลังวางแผนที่จะใช้การปรับใช้แบบคลิกครั้งเดียวเมื่อเสร็จสิ้นเวอร์ชันใหม่

10 .net  passwords 

เมื่อเร็ว ๆ นี้เราได้ย้ายไปใช้กลยุทธ์การจัดเก็บรหัสผ่านที่ดีขึ้นด้วยสิ่งที่ดีทั้งหมด: รหัสผ่านจะถูกเก็บไว้หลังจากผ่าน bCrypt ผู้ใช้จะได้รับลิงค์เปิดใช้งานในการสร้างบัญชีเพื่อยืนยันความเป็นเจ้าของที่อยู่ ลืมรหัสผ่านโดยไม่มีคำถามเพื่อความปลอดภัยลิงค์จะถูกส่งไปยังอีเมลของพวกเขา ลิงค์จะหมดอายุหลังจาก 24 ชั่วโมง ณ จุดที่พวกเขาจะต้องขอใหม่ หากบัญชีถูกสร้างขึ้นจากพนักงานของเราอีเมลจะถูกส่งด้วยรหัสผ่านที่รัดกุมแบบสุ่ม เมื่อเข้าสู่ระบบในผู้ใช้จะต้องรีเซ็ตเป็นสิ่งที่เราไม่รู้จักและนั่นคือ bCrypt'd ขณะนี้เป็นไปตาม "แนวปฏิบัติที่ดีที่สุด" แต่นี่เป็นการเพิ่มจำนวนการสนับสนุนของเราจากผู้ใช้ทั่วไปที่ไม่เข้าใจทั้งหมดพวกเขาต้องการเข้าสู่ระบบ เรามักจะได้รับการร้องขอจากผู้ใช้ที่บ่นเกี่ยวกับ: รหัสผ่านไม่ถูกต้อง (จากรหัสที่ต้องรีเซ็ตพวกเขามักจะวางด้วยช่องว่างในตอนท้าย) พวกเขาบอกเราว่าพวกเขากำลังใช้อะไรอยู่ แต่เราไม่มีวิธีบอกพวกเขาว่ารหัสผ่านจริงของพวกเขาคืออะไร บอกว่าพวกเขาไม่ได้รับอีเมลที่เราส่งไป (การเปิดใช้งานการรีเซ็ต ฯลฯ ) นี่ไม่ใช่กรณีหลังจากแก้ไขปัญหาเรามักพบว่าพวกเขาพิมพ์ผิดในอีเมลว่าพวกเขาไม่ได้ตรวจสอบบัญชีอีเมลที่ถูกต้องหรือว่ามันไปในโฟลเดอร์สแปม แน่นอนว่าเราไม่สามารถทดลองใช้ได้สำหรับพวกเขาเนื่องจากเราไม่มีรหัสผ่าน เรากำลังบันทึกความพยายามที่ล้มเหลว แต่เรายังล้างรหัสผ่านที่ใช้เนื่องจากน่าจะเป็นรหัสผ่านที่ใช้สำหรับบัญชีอื่นและเราไม่ต้องการเก็บไว้ในไฟล์บันทึกข้อความธรรมดา สิ่งนี้ทำให้เราไม่มีอะไรจะช่วยพวกเขาเมื่อพวกเขารายงานปัญหา ฉันอยากรู้ว่าคนส่วนใหญ่จัดการกับปัญหาเช่นนี้ได้อย่างไร

10 user-experience  passwords  technical-support 

หนึ่งในโปรเจ็กต์อดิเรก (โอเพ่นซอร์ส) ของฉันคือเครื่องมือสำรองซึ่งทำให้การสำรองข้อมูลออฟไลน์ของที่เก็บจาก GitHub, Bitbucket เป็นต้น มันเรียก API ของ hosters เพื่อรับรายการที่เก็บข้อมูล ดึงที่เก็บไปยังเครื่องคอมพิวเตอร์ ดังนั้นฉันจึงมีการทดสอบการรวมที่ฉันเรียก GitHub API ด้วยการตรวจสอบ (และเมื่อคุณสมบัติการโคลน / ดึงเสร็จอาจมีการทดสอบว่าที่เก็บโคลนจาก GitHub และต้องรับรองความถูกต้องด้วย) ฉันสร้างผู้ใช้และองค์กรโดยเฉพาะสำหรับใช้ในการทดสอบการรวมกลุ่มเหล่านี้ ปัญหา: ฉันไม่สามารถเข้ารหัสรหัสผ่านที่ยากที่ไหนสักแห่งในซอร์สโค้ดได้เนื่องจากเป็นโอเพ่นซอร์สและรหัสนั้นเป็นสาธารณะใน GitHub สิ่งที่ฉันทำตอนนี้ ในการทดสอบฉันได้รับชื่อผู้ใช้รหัสผ่านและชื่อที่เก็บจากตัวแปรสภาพแวดล้อมทั้งหมด นี่คือตัวอย่าง : config.Name = TestHelper.EnvVar("GithubApiTests_Name"); config.Password = TestHelper.EnvVar("GithubApiTests_PW"); ( TestHelper.EnvVarเป็นวิธีตัวช่วยซึ่งรับค่าของตัวแปรสภาพแวดล้อมและส่งข้อยกเว้นเมื่อไม่มีอยู่) จากนั้นฉันมีไฟล์แบตช์ซึ่งตั้งค่าตัวแปรสภาพแวดล้อมเหล่านั้น ตัวจริง ( environment-variables.bat) เรียกในสคริปต์สร้างของฉันและก่อนที่จะดำเนินการทดสอบ แต่ละเว้นในการควบคุมแหล่งที่มาดังนั้นจึงไม่ได้อยู่ในที่เก็บจริงของฉัน สิ่งที่อยู่ในการควบคุมแหล่งที่มาenvironment-variables.bat.sampleซึ่งตั้งค่าตัวแปรสภาพแวดล้อมเดียวกัน แต่ใช้รหัสผ่านปลอม: rem copy/rename this file to …

10 c#  open-source  integration-tests  passwords  xunit 

นี่เป็นนโยบายรหัสผ่านที่ฉันได้รับจาก UPS (สำหรับการตรวจสอบสถานะแพ็คเกจ): รหัสผ่านของคุณจะต้องมีความยาวระหว่าง 8 และ 26 อักขระ ต้องมีประเภทอักขระอย่างน้อยสามชนิดต่อไปนี้: ตัวอักษรตัวพิมพ์เล็กตัวพิมพ์ใหญ่ตัวเลขตัวอักษรพิเศษหรือช่องว่าง รหัสผ่านต้องไม่มี ID ผู้ใช้ชื่อหรือที่อยู่อีเมลของคุณ (SSO_1007) ที่จริงฉันต้องพินาศสมองของฉันบ้างเพื่อสร้างรหัสผ่านนี้ แต่ไม่เพียงเท่านั้นที่สำคัญที่สุดคือฉันแน่ใจว่าหลังจาก 3 วันฉันจะลืมรหัสผ่านนี้ ผู้ใช้จะไม่มีความสุขมาก การรีเซ็ตรหัสผ่านสามารถทำได้บ่อยครั้ง ฉันคิดว่าผู้ใช้จะพยายามหลีกเลี่ยงการใช้เว็บไซต์เว้นแต่พวกเขาจะต้อง นโยบายรหัสผ่านที่สมเหตุสมผลและปลอดภัยเมื่อตั้งค่าเว็บไซต์เป็นอย่างไร ฉันคิดว่าบาง บริษัท อาจกลัวแฮกเกอร์ที่พยายามใช้รหัสผ่านเป็นล้านครั้งหรือมากกว่าดังนั้นพวกเขาจึงเพิ่มข้อกำหนดทั้งหมดสำหรับ "อักขระพิเศษตัวพิมพ์เล็กตัวพิมพ์ใหญ่" แต่จะไม่เหมาะสมที่จะปิดบัญชีหรือปิดการใช้งาน รหัสผ่านและต้องการรีเซ็ตรหัสผ่านหากผู้ใช้ลอง 30 ครั้งหรือ 100 ครั้ง? หรือเพิ่มการหน่วงเวลา 5 วินาทีในแต่ละครั้งหลังจากผู้ใช้ลอง 30 ครั้งหรือไม่ ถ้าเป็นเช่นนั้นแล้วตัวละครพิเศษเหล่านั้นก็ไม่จำเป็นเท่าไหร่

10 security  passwords