タグ付けされた質問 「passwords」

ユーザーが開発プロセス中に物事を自動化しながらパスワードを入力する必要がある状況はほとんどありません。サイトの展開は、一般的な状況の1つにすぎません。OS Xでdmgファイルを作成するには、パスワードも必要です。スクリプトで使用されるコマンドラインユーティリティのほとんどには、stdinを介してパスワードを受け取る機能があります。 スクリプトを実行するたびにパスワードを指定すると、「自動」の目的が無効になります。スクリプトにプレーンテキストを保存すると、「パスワード」の目的が無効になります。パスワードを必要とするスクリプトにパスワードを提供するための最も最適なアプローチは何ですか？

11 automation  passwords 

私は現在、会社で10年以上使用されているソフトウェアを管理およびリファクタリングしています。このアプリケーションの要素の1つは、管理者モードまたはパワーユーザーモードの一種で、追加/内部入力や、入力制限をオフにする機能などを提供します。 歴史的にこのモードは、Windowsシステムディレクトリの特定の場所（どちらもアプリケーションにハードコードされていました）に特定の名前のファイルを配置することでオンになりました。 DLLではなくASCIIファイル。 そこで、最近、ユーザーが管理者パスワードを入力してこの機能をオンにできるようにするコードと小さなモーダルフォームを追加しました。これは設定されたパスワードであり、ユーザー固有ではありません。正しいパスワードが入力されると、アプリケーションのルートディレクトリに「キーファイル」を作成することによって同じことを行い、そのファイルが存在する場合にプログラムが管理モードで起動できるようにします。 今、このソフトウェアが主に使用する部門のマネージャーは、その考えをあまり好きではありません。彼は、単純で事前に設定されたパスワードがあれば簡単に「出て行ける」と考えており、経験の浅いユーザーがこれらの追加機能にアクセスすることを望んでいないと考えています。 だから私の質問は、この種のアクセスを提供するために、いくらか安全な他の方法があるのですか？このソフトウェアの保守と管理に関しては、私だけです。したがって、ほとんど完全に組み込まれていないか自動化されていないものは役に立ちません（たとえば、「ライセンスキー」の要求を送信するなど）。 注：このアプリケーションはVB.NET（.NET 4.0）で記述されており、現在、新しいバージョンが完了したらクリックワンス展開を使用することを計画しています。

10 .net  passwords 

私たちは最近、より良いパスワードストレージ戦略に移行しました。 パスワードはbCryptを通過した後に保存されます アカウントの作成時に、アドレスの所有権を確認するためのアクティベーションリンクがユーザーに送信されます セキュリティの質問なしにパスワードを忘れた場合、リンクがメールに送信されます。 リンクは24時間後に期限切れになり、その時点で新しいリンクをリクエストする必要があります。 アカウントがスタッフから作成された場合、ランダムな強力なパスワードが含まれたメールが送信されます。ユーザーのログイン時に、それを私たちが知らない何かにリセットする必要があり、それはbCryptされます。 現在、これは「ベストプラクティス」に準拠していますが、これを理解していない、ログインしたいだけの一般ユーザーからのサポートリクエストの量が大幅に増加しました。 私たちはしばしば不満を言うユーザーからリクエストを受けます： パスワードが間違っている（リセットする必要があるものから、末尾にスペースを付けてパスワードを貼り付けることが多い）。彼らは彼らが何を使っているかを私たちに伝えますが、私たちは彼らに実際のパスワードが何であるかを伝える方法がありません。 Googleから送信されたメールを受け取っていない（アクティベーション、リセットなど）とします。多くのトラブルシューティングの後、通常はメールにタイプミスがあること、彼らが正しいメールアカウントをチェックしていないこと、または単にスパムフォルダーに入っていることを発見した多くのトラブルシューティングの後、これはしばしばそうではありません。 もちろん、パスワードがないので試してみることはできません。失敗した試行をログに記録していますが、それらが使用したパスワードもクリアしています。これは、別のアカウントで使用されているパスワードである可能性が高く、プレーンテキストのログファイルに保存したくないためです。これは、彼らが問題を報告するときに彼らを助けるためにほとんど何も残しません。 ほとんどの人がこれらのような問題にどのように対処するかについて私は興味がありますか？

10 user-experience  passwords  technical-support 

私の（オープンソースの）趣味プロジェクトの1つは、GitHub、Bitbucketなどからリポジトリのオフラインバックアップを作成するバックアップツールです。 ホスティング事業者のAPIを呼び出してリポジトリのリストを取得し、Git / Mercurial /何でもクローン/リポジトリをローカルコンピュータにプルします。 したがって、認証を使用してGitHub APIを呼び出す統合テストがあります。 （そして、クローン/プル機能が終了すると、おそらくGitHubからリポジトリをクローンするテストがあり、認証も必要になります） 特にこれらの統合テストで使用するユーザーと組織を作成しました。 問題：オープンソースであり、コードがGitHubで公開されているため、ソースコードのどこかにパスワードをハードコードすることはできません。 私が今やっていること テストでは、環境変数からすべてのユーザー名、パスワード、リポジトリ名を取得しています。 次に例を示します。 config.Name = TestHelper.EnvVar("GithubApiTests_Name"); config.Password = TestHelper.EnvVar("GithubApiTests_PW"); （TestHelper.EnvVar環境変数の値を取得し、存在しない場合は例外をスローするヘルパーメソッドです） 次に、これらの環境変数を設定するバッチファイルがあります。 実際のenvironment-variables.batスクリプト（）は、ビルドスクリプトでテストを実行する前に呼び出されますが、ソース管理では無視されるため、実際にはリポジトリにありません。 何でソースコントロールであるでenvironment-variables.bat.sampleはなく、偽のパスワードで、同じ環境変数を設定し、： rem copy/rename this file to environment-variables.bat echo Setting environment variables for integration tests... set GithubApiTests_Name=scm-backup-testuser set GithubApiTests_OrgName=scm-backup-testorg set GithubApiTests_PW=not-the-real-password set GithubApiTests_Repo=scm-backup リポジトリを自分のマシンに複製し、このファイルの名前をに変更しenvironment-variables.bat、偽のパスワードを実際のパスワードに置き換えると、すべての統合テストが機能します。 これは継続的インテグレーションでも機能します。私はAppVeyorを使用しており、Web UIでこれらの環境変数を設定できます。 それについて私が嫌いなこと 私はそれがOSSプロジェクトにとって、特にこのプロジェクトにとっては良い解決策ではないと思います： 理論的には、私のプロジェクトの貢献者は、次の方法で統合テストをすぐに実行できます。 …

10 c#  open-source  integration-tests  passwords  xunit 

これは、UPSから入手したパスワードパッケージです（パッケージステータスのチェック用）。 パスワードの長さは8〜26文字にする必要があります。小文字、大文字、数字、特殊文字、スペースの3つ以上の文字タイプを含める必要があります。パスワードには、ユーザーID、名前、または電子メールアドレスが含まれていない場合があります。（SSO_1007） 私は実際にこのパスワードを生成するために多少脳を壊さなければなりませんが、それだけでなく、最も重要なことに、3日後にはこのパスワードが何であるか忘れてしまうことでしょう。ユーザーはそれほど幸せではありません。パスワードのリセットは頻繁に行われる可能性があります。ユーザーは、必要がない限り、サイトの使用を避けようとするでしょう。 ウェブサイトをセットアップするときの合理的で安全なパスワードポリシーとは何ですか？企業によっては、ハッカーがパスワードを100万回以上試行するのを恐れている可能性があるため、「特殊文字、小文字、大文字」の要件をすべて追加していますが、アカウントをオフにするか、単にパスワードを使用して、ユーザーが30回または100回試行した場合にパスワードのリセットを要求する または、ユーザーが30回試行した後、毎回5秒の遅延を追加しますか？その場合、それらの特殊文字はそれほど必要ありません。

10 security  passwords 

私のデータベースには、ハッシュされたパスワードとソルトの列があります。私のアプリケーションでは、ユーザーが自分のパスワードを変更できます。パスワードに同じソルトを使用する必要がありますか、それとも新しいソルトを生成する必要がありますか？アプリケーションのセキュリティは重要ですか？

8 database  passwords 

あなたが顧客のためのウェブサイトを作成しているとしましょう。このWebサイトには独自の登録があります（OpenIDと組み合わせるかどうか）。ユーザーは、ユーザーがおそらくすべてのWebサイトで同じパスワードを使用していることを前提として、ユーザーが選択しているパスワードを確認できるようにするように求めています。 一般的に言って、 パスワードはプレーンテキストではなくハッシュ化されているため、パスワードを取得することは不可能です。 または、私がそれを行う権利がないこと、または管理者が追加の詳細情報を提供せずにユーザーのパスワードを表示できないようにする必要があること。 最初のものは誤りです：パスワードがハッシュされていても、ログオンごとにパスワードをキャッチして保存することが可能です（たとえば、ログオンに成功または失敗したユーザーだけでなく、パスワード）。二つ目は失礼です。 専門家でも失礼でもないで、この要求を拒否する方法は？

8 security  customer-relations  passwords 

現在のWebブラウザー（またはモバイルメールクライアントと一般的なソフトウェア）はユーザーパスワードをどのように保存しますか？パスワードの保存に関するすべての回答は、パスワード自体ではなく、ハッシュのみを保存する必要があると述べています。しかし、後でパスワードをプレーンテキストで必要とすることがわかっているときに、弱い暗号化（既知のキー）を使用せずにそれらをプレーンテキストで保存することなく、パスワードを保存するための最良の手法を見つけるためにWebを検索するのに苦労しています。ユーザーにマスターパスワードを要求しません。何か案は？

8 encryption  passwords  hashing