15回答
使用端口敲门,您必须按照定义的顺序对特定端口进行“敲门”,以公开运行服务的端口。
密码敲门怎么样?例如,您有三个密码:A、B和C。它们中没有一个本身是正确的,但按这个顺序一个一个地输入,它们将允许您访问。
为了使这一想法更加清晰,有些场景:
场景1.
你:密码A。
服务器:无效密码。
你:密码B。
服务器:无效密码。
你:密码C。
服务器:密码已接受。
场景2.
你:密码A。
服务器:无效密码。
你:密码C。
服务器:无效密码。
你:密码B。
服务器:无效密码。
场景3.
你:密码A。
服务器:无效密码。
你:密码B。
服务器:无效密码。
你:密码B。
服务器:无效密码。
你
浏览 0提问于2015-02-19得票数 108
回答已采纳
我想使用高级VType对从获取的extjs实现密码验证,但是如果密码确认没有值(如果密码值为'test‘,确认密码值为空,则表单是有效的,则“确认密码文本”字段不会验证密码文本字段的更改。我相信这不是一件正确的事。如何通过以下条件使/强制确认密码文本字段有效/无效:
如果密码值不等于确认密码值,则确认密码无效(即使确认密码值为空)
如果密码值为空,确认密码值为空,则确认密码有效。
如果密码值等于确认密码值,则确认密码有效。
谢谢
浏览 8提问于2011-10-09得票数 3
回答已采纳
2回答
如何在ExtJS中检查密码强度设计一个有旧密码、新密码和确认密码的窗口。那么如何显示新密码旁边的密码强度,以及确认密码旁边的密码匹配信息(在密码不匹配的情况下)
提前感谢
浏览 1提问于2011-05-05得票数 0
Google浏览器通过提醒用户记住他们的网站密码来帮助进行密码管理。这些保存的密码可以从浏览器“设置”菜单中访问,为此,Chrome要求用户提供Windows密码。我知道这是为了提供更多的安全。
我在某个地方读到Windows密码是使用NTLM哈希进行散列的。为了查看Chrome中保存的密码,我必须提供我的Windows密码,这很好。我相信Chrome一定是在用我的Windows密码加密保存的密码。
现在的问题是Chrome如何在不提示我输入Windows密码的情况下自动将保存的密码填充到网页中。Chrome如何解密网站保存的密码?这真是让人费解。
我的Windows密码是否没有散列,Chro
浏览 0提问于2014-11-10得票数 6
关于密码策略的普遍看法似乎是,由于人性的1,复杂性规则与安全性相反。
这是否也适用于禁止重复使用用户在同一系统上的密码的密码策略?防止重复使用(例如最近使用的3个密码)的实际好处(或缺点)是什么?是否“足够安全”来防止当前密码和新密码相同?
按照上面链接的答案的要点,我认为,如果一个特定系统的用户每个月都必须修改他/她的密码,并制定密码策略,禁止重复使用最近使用的3个密码,那么用户就会在第三次密码之前使用密码。因此,循环通过一个由4个密码组成的池,而不是3个密码池,遵守密码策略,但却违背了策略的目的。
限制:
密码必须被人类记住和输入。使用CSPRNG的密码管理器-在这种情况下密码是不可行的。
浏览 0提问于2018-08-14得票数 3
回答已采纳
1回答
在本地安装的灯堆栈中,密码存储在哪里?如果有一个以上的密码,我只有以前安装的MySQL密码,但是新的密码使用相同的密码。PHP5和Apache2不需要密码吗?他们有标准密码吗?
清除和重新安装密码后,不重置密码。
浏览 0提问于2017-02-15得票数 0
2回答
我已经为我们客户的一个雇员建立了一个新的域用户帐户。我随机地为用户帐户生成一个密码并设置它,所以用户必须在第一次登录时更改密码。我们使用默认Windows 2008 R2密码策略默认Windows 2008 R2密码策略。
现在,我正在与上述用户通电话,告诉用户临时密码,解释密码规则,他们无法更改密码。新密码被简单地拒绝。
我再次解释密码规则,用户向我保证密码符合这些规则。因此,我尝试登录到帐户,使用我自己的自定义密码作为新的密码,它立即工作。
这表明用户错误地假设密码符合密码策略,但无法看到错误。
在不询问用户密码的情况下,我如何确定他们的密码有什么问题?
浏览 0提问于2012-10-15得票数 1
回答已采纳
我正在构建一个基于自定义策略的Azure AD B2C配置。登录、配置文件编辑、密码更改等都已按需要工作。
但目前,我正在为密码遗忘策略而奋斗。我想实现新密码不等于旧密码。谷歌和微软的文档总是给我提供密码更改的例子。当我更改密码时,我必须输入旧密码和新密码。那么我就可以比较旧的和新的了。例如,描述的方式
但是,当一个用户忘记了他的密码,那么他--当然--无法输入旧密码来与新密码进行比较。
是否有任何方法可以在不输入旧密码的情况下构建真正的密码遗忘策略,但同时确保新密码不等于旧密码?
提前感谢!
亚历克斯
浏览 0提问于2021-02-15得票数 1
回答已采纳
我正在实现一个系统,在这个系统中,用户可以在忘记密码的情况下重新设置密码。
一旦它被重置,我想给他们更改密码的选项,这样他们就会更容易记住密码。
密码是散列的,如果我输入正确的旧密码和新密码,密码就会更改。
如果我输入了错误的旧密码和新密码,密码不会更改。
有没有办法将旧密码与后台代码中的旧密码字段相匹配,这样我就可以向用户抛出一个错误,告诉他们哪里出了问题?
我试过了:
Dim currentUser As MembershipUser = Membership.GetUser()
currentUser.GetPassword()
但我认为这不会起作用,因为密码是散列的。
谢谢。
浏览 1提问于2011-06-02得票数 0
回答已采纳
3回答
处理密码加密的最佳方法是什么?
我正试图通过NSURLRequest发送密码。密码是在服务器上的数据库级别加密的。
我是否应该以明文形式发送密码,然后当密码到达服务器时,对密码进行加密,然后检查该密码是否与数据库中的加密密码匹配。
我应该先加密密码,然后检查这个加密密码与数据库中的加密密码匹配吗?
浏览 5提问于2011-07-10得票数 1
回答已采纳
2回答
密码强度确定
、、、
最近,我查看了一些文章,包括R·E·史密斯强密码难题.ch.6.、密码强度:实证分析、两个密码之间的距离和密码强度度量。上述强密码策略如下:
您选择的每个密码必须是新的和不同的。
密码必须记住。如果一个密码被写入,它必须被锁定。
根据密码字符集的大小,密码必须至少有六个字符长,而且可能更长。
密码必须定期更换。
密码必须包含字母(大写和小写)、数字和标点符号的混合。
在使用用户选择的密码输入构建用户注册系统时,我希望提供一些信息,说明用户输入的密码的强度(例如,三个级别的结果:weak、medium和strong),以便引导用户设置适当的密码。网站密码计具有类似的功能和标准,包括字符数、大写字
浏览 0提问于2021-05-27得票数 0
回答已采纳
目前,密码安装程序luks预引导密码输入提示在键入时甚至不会显示星号符号。不过,密码输入是有效的。但这对一些用户来说太难了。
如何使密码设置luks预引导密码输入提示,至少在输入时显示星号?
是否可以在输入密码时使密码设置luks预引导密码输入提示显示真正的密码字母?(类似于web窗体“显示密码”框。)
浏览 0提问于2019-05-27得票数 5
1回答
我正在用Laravel4.2修改密码
Laravel4.2使用散列方法对密码进行修改,现在我想更改密码(注意:不要忘记密码)。
在我的例子中,用户记住密码,但他希望更改为新密码。所以我的表格应该有:
旧密码
新密码
新密码确认
假设用户输入的旧密码正确:'abcd',我不能散列::make(‘abcd’),并且这个散列与我数据库中的散列(‘abcd’)不同。
有什么建议可以在Laravel4.2中有效地更改密码吗?
浏览 5提问于2015-11-24得票数 3
回答已采纳
1回答
目前,我开始学习密码文件中的安全密码。密码文件包含密码的散列值。我知道对密码的前向搜索攻击,如果入侵者可以访问系统中的密码文件。然后,他/她可以散列最常见的密码,并将它们与密码文件中的密码进行比较,寻找匹配的密码。当字典攻击时,入侵者计算密码的哈希,并在普通密码字典中查找它们。
对我来说,这两个定义看起来是一样的。那么,前向搜索攻击和字典攻击是一样的吗?
浏览 0提问于2018-10-27得票数 1
回答已采纳
在Linux上,Server在哪里存储“Server密码策略”和SA用户的密码?我明白,“密码”不安全。
错误:无法设置系统管理员密码:密码验证失败。由于密码太短,因此密码不符合Server密码策略的要求。密码必须至少有8个字符。
然后,
错误:无法设置系统管理员密码:密码验证失败。密码不符合Server密码策略要求,因为它不够复杂。密码必须至少有8个字符长,并包含以下四组中的三个字符:大写字母、小写字母、基本10位数字和符号。
我猜这个策略实际上已经被编译进数据库了?密码会被存储在一个不知名的位置?
浏览 0提问于2017-12-12得票数 2
回答已采纳
1回答
我想要创建一个生成密码管理器。生成密码管理器基于种子生成密码,例如主密码和网站的URL。相反,大多数密码管理器将密码存储在加密文件中(使用主密码加密)。在这方面,既然生成密码管理器不存储任何信息,那么它是否比普通的密码管理器更安全,后者将一个加密的密码文件传递给用户,以便在客户端解密?理论上,攻击者可以查看生成密码管理器的内存并检索生成的密码。这会比试图侵入服务器、窃取密码文件、然后试图强行执行更困难吗?
浏览 0提问于2016-06-04得票数 0
回答已采纳
2回答
是否有可能设计一个具有两个密码提示的系统?
系统必须提示输入两个密码。
在提示输入第二个密码之前,系统必须先验证第一个密码。
在正确提供第一个密码之前,不能提示用户输入第二个密码。
这两个密码存储在单独的DB位置中。
AD、LDAP和/或AAA系统将使用相同的双重密码信息进行更新。
此系统双密码登录将主要用于系统登录。本地登录的用户名和第一个密码。第一和第二密码提示远程登录。第二个密码将绑定到(i/o中断),以便系统知道用户何时试图远程登录,何时用户在本地登录。
我读过这篇文章,一个帐户的两个密码。
效益:
假设该系统是在家庭或具有互联网连接的独立计算机上实现的,黑客可以通过社会工程或击键登录
浏览 0提问于2022-04-07得票数 0
3回答
假设我有一个庞大的列表(1000万)公布的帐户和相关的密码。
假设这是一个具有代表性的帐户密码填充示例。
从这个示例中,我可以生成一个密码分布,从最常用的密码到最少的密码。
可能会有比任何其他密码更多使用的密码,而且也会有大量的密码使用一次(唯一的密码)。
假设唯一密码的数量是50%。
因此,我能否得出结论:当用户发明一个密码时,他们选择一个普遍唯一的密码的概率是50%吗?
如果没有,我能得出什么结论?
浏览 0提问于2018-09-18得票数 2
3回答
我将密码存储在我的Mysql数据库中,这些密码有特殊字符。密码存储良好,但在检索这些密码时,会显示不完整的密码,密码在小于号'<‘后不会显示
例如:这是密码-> abcxyz abcxyz
浏览 2提问于2012-11-11得票数 0
我想在webform中添加三个字段:
当前密码
新密码
新密码再次出现
当前密码应该是现有密码,最后两个字段(新密码、新密码)只有在当前密码正确的情况下才应该更新(验证)。总之,我只想添加“更新您的密码功能”在我的网站使用webform。
知道怎么做吗?
浏览 0提问于2015-10-20得票数 0
在尝试设置新密码时获取以下错误:
当前密码必须提供,并在设置新密码时有效。
因为它也要求旧密码,我提供的蓝光密码作为旧密码。第一,找不到设置密码的was。
浏览 5提问于2017-09-11得票数 1
回答已采纳
1回答
用于身份验证的保存旧密码的设计
、、、、
我有一个要求,当重置密码时,新密码应该不同于旧密码。我正在考虑将其设计为具有多个密码对象的用户对象,以及包含userId、Password和createdDate的密码对象。
当重新设置密码时,它将根据用户的所有旧密码(最新密码除外)检查新密码,如果找到匹配,则将其丢弃。
如果它还没有出现在旧密码列表中,它将在密码列表中为用户创建一个新条目。当用户登录时,系统应该基于createdDate检查最新的密码。
只是想看看你对这个设计的看法,看看是否有更好的方法来做到这一点。谢谢。
浏览 5提问于2014-07-28得票数 0
回答已采纳
我有一个表单,我使用它来编辑电子邮件和用户表的其他细节。其他详细信息是我添加到user表中的列。
我想要能够编辑密码,我有几个选项。
在编辑视图中,将密码和确认密码字段保留为空白(密码字段中不显示来自db的值),并允许用户输入新密码。只有管理员有能力编辑用户,所以我没有输入旧的密码功能。
将bcrypt加密密码解密为纯文本,并在password字段中填充原始文本密码,并将表单字段更改为文本而不是密码。
使用存储在用户密码的密码字段中的bcrypt字符串填充密码字段。
能否用laravel解密用户密码?
浏览 2提问于2017-05-16得票数 2
回答已采纳
在安装Ubuntu时,每当它询问密码时,我都会给出相同的密码,而且我也没有费心查看根密码还是用户密码。现在我只有一个用户帐户在我的系统上,所以我不必费心类型的密码在任何方面。
但出于某种原因,我和同一局域网的朋友共享了密码。现在,他们可以在没有我的同意下建立SSH连接。
所以我只是想改变密码,想在一个地方修改密码,这样我就可以用同样的方式使用新密码了。但是当我寻找它的时候,我知道我可以为Root和User单独更改密码。
所以我的怀疑是:
即使我使用相同的密码,也必须分别更改root和user的密码吗?
如果我使用不同的密码,我到底什么时候使用用户密码?只供用户登录?
我应该更改哪个密码以避免来
浏览 0提问于2021-03-02得票数 0
回答已采纳
我找到了主密码应用程序,它使用密码生成算法根据站点名称、用户名和主密码为每个站点生成不同的密码。在每个站点中保留一个不同的密码似乎是一个好主意,而不必麻烦地保持一个密码文件同步。
然而,我有一种感觉,在安全方面,与密码管理器相比,这种策略有一些缺点。特别是在我看来,每个密码在幕后都是一样的。具体来说,似乎每个密码背后的唯一秘密是主密钥,使每个密码实际上是相同的。此外,更改一个密码的唯一方法(假设一个站点被破坏)是更改主密钥,后者依次更改所有其他密码(同样,似乎只有一个真正的密码)。
我的问题是,与密码管理器相比,这种策略有多安全?具体来说,与密码管理器相比,这是一个很好的策略来存储我的密码吗?
浏览 0提问于2017-02-14得票数 1
1回答
一些密码管理器可以在用户浏览器中自动填写密码。但是要保证自动填充是安全的,他们必须确保在正确的输入字段中输入密码,而且信息不会泄露给第三方软件。以下是一些问题:
这些密码管理器如何正确识别网页上的密码输入字段?可能会发生网页包含多个密码输入字段的情况。密码管理器如何知道它应该填写哪个密码?如果它将密码放在错误的字段中,即使表单尚未提交,是否有可能泄漏信息(例如,某些JavaScript事件处理程序)?
这些密码管理器大多以浏览器加载项的形式出现。浏览器是否有任何安全机制来阻止其他加载项访问密码信息,在此之前(在附件中的密码信息)和之后(当页面上的密码信息被填充时)?
如果存在本地密码库,则很可
浏览 0提问于2018-07-01得票数 2
回答已采纳
1回答
具有多重解密结果的非对称加密
、、、、
编辑
我正试图为公司开发一个密码管理工具。我的想法是,某些数据库中的密码是用主密码加密的,只有管理员才有。
公司的每个部门都应该有自己的密码,该密码只允许该部门的用户访问他们的密码。
让我们看一个例子。
A系
计费系统,密码:“你好”
B部门
邮件,密码:“世界”
密码使用管理员的主密码加密。让我们假设它是0000。所以在数据库中会有这样的东西
A系
计费系统,密码:加密(“Hello”,0000,'A')
B部门
邮件,密码:加密(“World”,0000,'B')
浏览 2提问于2014-10-23得票数 0
回答已采纳
我刚刚开始使用密码管理器,我想知道在软件中存储的内容在哪里是最好的做法。
理想情况下,我可以存储Windows/Unix用户密码、远程服务器的sudo密码、SSH密钥的密码、电子邮件帐户密码和网上银行密码以及网站的密码,但是在密码管理器中保存这些密码是安全的吗?
浏览 0提问于2013-03-18得票数 3
2回答
主密码与密码
、、
大约一年前,我试着使用LastPass,但发现用户体验非常缺乏,我回到了我尝试过的方法,即只有一堆不同的密码(一些密码重用,但我从来没有遇到问题),我的电子邮件有一个独特的,不重复使用的30+字符密码,我想我可以只是密码重置任何服务最终被劫持。
我知道这不是好事,我也明白后果--这与此无关。
我最近决定“嘿,让我们再给密码管理人员一次机会”,这次是火狐同步(&主密码)。
据我注意到,它使用密钥加密本地存储的加密From,密钥本身就是使用主密码加密的。存储在其服务器上的密码(出于某种原因)使用我的Firefox密码加密(当然,该密码存储在加密Sync中)。
完全公开:我的Firefox同
浏览 0提问于2016-10-11得票数 3
回答已采纳
我有一个表单与3个asp文本框更改密码-旧密码,新密码和确认密码和表单上的提交按钮。设置新密码时,首先检查旧密码。场景是,如果管理员想要更改密码,它将不检查任何旧密码,而对于用户,它将检查旧密码,如果它是正确的,则设置新密码。我已经为旧密码和新密码字段和comparevalidator控件提供了两个必需的文件验证器控件来检查确认密码。
我已经为需要旧密码的字段验证器指定了groupA,并为新密码和确认密码指定了groupB。这个场景是对于管理员登录,我隐藏了旧密码,因为它不是必需的,而对于用户登录,我使其可见。
所以这里问题是,对于用户登录提交事件,我希望同时验证groupA和groupB。有
浏览 1提问于2012-07-19得票数 1
回答已采纳
1回答
在Network中,在Identity选项卡下,我可以为我的OpenVPN连接输入用户名和密码。我也可以为“用户私钥”输入密码。
这两个密码字段都有以下选项:
只存储此用户的密码
为所有用户存储密码
每次问这个密码
不需要密码
如果我选择存储密码(“此用户”或“所有用户”),则该密码存储在何处?
浏览 0提问于2018-02-02得票数 16
回答已采纳
1回答
我使用Java客户端API来使用ldapConnectionTemplate访问Apache服务器。
我正在尝试实现一个允许用户重置/更改密码的功能。我的密码策略的密码历史属性值为5,因此用户将无法使用前面的5个密码中的任何一个。
当我使用modifyPassword方法更改密码(即通过传递当前和新密码作为用户)时,它尊重密码历史策略。也就是说,我不允许使用之前的5种密码中的任何一种,也不允许像预期的那样获得密码异常。但是当使用重置选项(即只使用新密码)时,它不遵守密码策略。它接受任何值(包括当前值)并更新密码。
如何使重置密码方案遵守密码历史记录策略?欢迎任何想法、建议和解决方案。
浏览 1提问于2017-04-03得票数 0
密码管理器可以存储许多敏感信息,如密码、引脚等。要访问这些数据,我们应该使用一个强密码/密码短语来保护我们的数据。这个密码或多或少是一个主密码。
有什么理由我应该定期更改这个密码吗?
在我的例子中,我使用的是一个只有我知道的强密码的KeePass。此外,我想排除密码管理解决方案,如LastPass (谁最近被黑客攻击),因为在线帐户应该有更改密码。
浏览 0提问于2015-06-17得票数 10
回答已采纳
我想验证当前的密码,新的密码和确认密码在ruby on rails。当我单击“更改密码”时,它将要求输入当前、新和确认密码。但是,当我意外地在“当前密码”和“新密码”字段中输入相同的密码时,它不应该允许它。它应该抛出一些错误信息,比如“当前密码和新密码不能相同”。但实际上,我不知道如何在ruby on rails中做到这一点。如果你知道答案,请任何人帮助我。提前感谢
浏览 2提问于2014-12-09得票数 3
回答已采纳
我的理解是,我在Firefox的密码管理器中保存的密码是加密的,设置主密码会加密在此过程中使用的加密密钥。谷歌点击“firefox加密保存的密码吗?”返回选择的答案(由版主发布)所述的Mozilla支持论坛文章:
存储在logins.json中的密码是加密的,但是加密密钥存储在key4.db (先前在key3.db中),如果没有主密码,您只需将两个文件放置在Firefox文件夹中,就可以在密码管理器中查看密码。
(请注意,logins.json是FF存储密码的地方。)
这个由高代表用户发布的信息安全问题假定密码是加密的,即使在用户设置主密码之前,这个受欢迎的问题也是如此。
但是,根据索弗斯裸露
浏览 0提问于2019-08-17得票数 11
回答已采纳
1回答
我使用Ubuntu 14.04。早些时候,我设置了一个登录密码,几天前我删除了这个密码。甚至“用户帐户”选项卡也没有显示密码。任何新的软件/应用程序下载都要求我进行密码验证,但它既不接受我的旧密码,也不接受密码。即使从“使用帐户”选项卡中更改密码也不起作用,我单击“使用帐户”界面顶部的“解锁”图标,提示输入密码,但它既不接受旧密码,也不接受任何密码。这很令人沮丧,有什么想法吗?
浏览 0提问于2016-08-07得票数 0
2回答
不久前(12岁),我意识到我的密码根本不安全。因为我在任何地方都使用相同的密码,一些脾气暴躁的管理员可以很容易地接管我的所有帐户(他有邮件和密码)。
显然要做的是将所有密码更改为唯一的新密码。然而,记住这些是很麻烦的。一定有更好的方法..。
导致:又一个密码生成器 ( >= 6)。
非存储密码生成(没有包含所有密码的文件)
易收回遗失密码
主密码只在本地使用,因此完全安全(我想)
跨平台(Android、桌面等)的一致性
可配置生成密码长度
它的工作方式是这样的
输入主密码并使用密码(例如google.com)
创建Sha1 SecureRandom对象
用主密码的UTF-8字节和密码的
浏览 0提问于2014-02-12得票数 11
回答已采纳
1回答
我试图实现IPSK使用自由在梅拉基。在freeradius用户配置文件中,我必须定义mac地址加隧道密码。是否有办法为所有定义的用户一次性定义隧道密码?
举个例子,我现在的文件
a483e*明文-密码:=“a483e*”隧道-密码=密码
F 0189*明文-密码:=“f 0189*”隧道-密码=密码
在这里,我必须定义隧道密码与每个用户/mac-地址。我是否可以定义一次隧道密码,并将其引用到已定义的用户/mac地址?
浏览 5提问于2020-03-05得票数 0
2回答
是否有一种方法可以自定义Rails中的消息以获得确认字段?例如,在设计中,我必须输入密码和password_confirmation,错误消息是:
密码确认不符合密码
我可以更改活动记录区域设置消息(“不匹配”),但它在区域设置消息的开始和结尾输出密码确认和密码,因此我得到如下内容:
“密码确认必须与密码匹配”
有没有办法将它转换成不同的字符串?
密码确认和密码必须匹配。
编辑
另一件事是拥有完全自定义的消息,例如:
“设置密码”和“确认密码”必须匹配。
浏览 1提问于2013-10-09得票数 8
3回答
我一直试图回答以下问题,但似乎找不到一个明确的答案.
当用户忘记密码后重新设置密码时,是否应该允许他们将密码更改为已设置的密码?
我知道,用户重置密码的全部原因是他们忘记了密码,但从安全性的角度来看,让他们换个不同的密码不是有意义的吗?在忘记密码备忘单和认证备忘单中,我找不到任何关于重用旧密码的地方。
如果应该使用此规则,这是否是正确的错误消息?
密码必须与现有密码不同。
浏览 0提问于2017-09-22得票数 6
回答已采纳
假设家庭用户在笔记本电脑上使用全磁盘加密并使用基于云的密码管理器运行Linux。假设笔记本电脑是防火墙保护的,没有SSH访问权限。根据以下推理,对OS用户帐户、FDE和密码管理器重用相同的密码似乎是合理的:
密码重用的一般风险是,如果一个帐户的密码被破坏了,那么对于所有使用密码的帐户,密码都会被破坏。
在这种情况下,如果攻击者发现了FDE密码,那么他们也有可能对笔记本电脑进行物理访问,并且可以安装一个键盘记录器来拦截用户帐户和密码管理器的密码。
如果攻击者发现用户帐户密码,那么他们也可能在膝上型计算机运行时对其进行物理访问,并且可以安装键盘记录器来拦截FDE和密码管理器的密码。
如果攻击者发现
浏览 0提问于2023-05-29得票数 1
回答已采纳
LDAP/AD具有可强制执行密码历史记录的密码策略。
但是密码历史记录是否包含当前有效密码作为历史密码之一?
问: 1. AD是否将当前有效密码记录到密码历史记录中? 2.据我所知,OpenDJ不会将当前密码记录到历史记录中。为什么
浏览 17提问于2017-06-14得票数 0
1回答
解密随机数据(改为密码)
、、、、
想象一个基于web的密码管理器。它使用浏览器中的javascript和对称加密算法,从服务器加密密码,从用户获得主密码,以获得站点特定的密码。
服务器不应该知道主密码,也不知道站点特定的密码,只有加密的表单.如果用户使用了不正确的主密码,那么他/她得到了不正确的站点特定密码,所以不应该有验证。
的问题:作为javascript没有很好的随机性,密码生成应该在服务器端进行。由于服务器不一定知道特定于站点的密码,我认为可以生成特定于站点的密码的随机加密形式,如果客户端用他/她的主密码对其进行解码,那么站点特定密码才会出现。
是否有一种算法可以从任意随机数据/主密码组合中解密一个合适的密码?对于如何
浏览 3提问于2014-09-13得票数 0
我有一个Microsoft Access 2007 (accdb)文件。我给它设了个密码。现在打开它时,系统会提示我输入密码。我输入正确的密码,就可以访问它。
但是,我想删除密码。我点击“数据库工具”,但在数据库工具中,我只看到“使用密码加密”,而不是帮助文件(它说我应该看到“解密密码”)。
似乎Access UI认为我没有密码,所以它不会给我删除密码的选项。
如何删除密码?
浏览 1提问于2010-01-30得票数 3
6回答
顺序密码更新
、、
假设我有一个合理的KDF,并且我让用户定期更改密码并保留一些旧的密码散列以防止密码重用。
怎样才能阻止用户按某种可预测的顺序更改密码(当需要更改密码时)?
hammurabi1
hammurabi2
hammurabi3
或
winona2014Q3
winona2014Q4
winona2015Q1
或者其他明显的“基本”密码排列?
显然,我不能存储密码的明文来检查序列,hammurabi3本身是无害的。这可能是一种模式,也可能不是。
更改密码的好处是否因为用户有机会将密码更改为几乎--但不是完全相同的密码而失效?
我能做些什么来改善这个缺陷(如果是缺陷的话)?
再读
Facebook存储纯
浏览 0提问于2014-10-27得票数 11
我想要跟踪用户密码更改历史,并显示警告,如果他们的当前密码是他们以前使用的。请注意,我不想阻止用户设置密码,如果它以前使用,我想让他们设置密码,但只是显示警告后。所以我要找的不是密码验证器。
我知道尽管Django在db中保存用户密码,但它使用随机盐创建密码的散列。因此,相同密码的2散列将不是相同的。但是,是否可以判断是否使用与输入相同的原始密码创建了两个不同的密码哈希?
浏览 3提问于2020-03-11得票数 2
回答已采纳
Active Directory密码同步代理是IBM tivoli提供的一个工具,用于将密码与集成了Tivoli Identity Manager的企业应用程序进行同步。Application.This代理将安装在基础架构中的所有域控制器上。每当用户或管理员更改密码时,此模块都会捕获明文密码,并将其发送到tivoli identity manager平台。对于此Active directory,密码同步代理使用ITIM(IBM tivoli identity manager)用户及其凭证将密码传播到ITIM。并且ITIM将具有密码将在一定天数后过期的密码规则。此AD代理的ITIM用户在过期时也
浏览 3提问于2011-04-22得票数 0
回答已采纳
4回答
混沌能给密码学带来什么?
、、、、
基于混沌的密码学正面临着许多批评,然而,一些人认为它可以提供许多密码原语,如流密码、块密码、散列函数、公钥密码。
抛开密码学中应用混沌的所有缺陷,混沌不只是一种伪随机发生器,它可以用于流密码(如果可能的话)?
注意:我想知道为什么有些人认为它适用于许多密码原语。
换句话说,在诸如LFSR这样的伪随机源上建立一个完整的密码学分支是否可行?
或
例如,对于分组密码来说,混沌不只是用于产生随机序列,而随机序列是分离出来的,用于构造我们构建的流密码或分组密码?
或
有些作者说混沌是适用于prng的,但是它没有提供一个被批准的密码原语。难道提议的密码中的混沌角色不只是一种刺激吗?
浏览 0提问于2021-10-02得票数 2
回答已采纳
我的问题很简单:
如果用户需要/需要更改他的密码,那么他当前的目录是不被禁止的(如果它符合当前的密码策略),我可以配置一个活动目录吗?
以下是一些背景:
我们最近实现了一种针对已知公开密码的黑名单方法(参见特洛伊·亨特的服务密码)。现在我们有一些用户的密码没有过期,他们有可能仍然使用黑名单上的密码,但在用户不更改密码时永远不会被检查,因为这是检查他密码的唯一机会。
现在我的想法是强迫用户“更改”他的密码,但如果密码不在黑名单上,允许他使用当前的密码。
我知道存在可设置为0的强制密码历史记录,但在我看来,当前的密码历史仍然不被接受。
浏览 0提问于2018-06-04得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
