草庐IT

linux - 可以提高此用户名/密码生成器脚本的安全性吗?

coder 2023-06-20 原文

关闭。这个问题不符合 Stack Overflow guidelines 。它目前不接受答案。












想改善这个问题吗?更新问题,使其成为 Stack Overflow 的 on-topic

6年前关闭。




Improve this question




描述

为了管理大量的网站登录,我编写了一个 bash 脚本,它需要

  • 对我个人而言,标识某个帐户的字符串。示例是 mylogin@stackoverflow.comthisWebsiteIVistedLately ,但它可以是任何东西。它不必遵循某种模式,它只是应该帮助我区分我想要管理的不同帐户。
  • 主密码。

    • 输出是帐户的用户名和安全密码的组合。我不想存储任何生成的用户名/密码,也不想存储主密码。因此,类似于 Honey Encryption ,我希望脚本为每个输入生成合理的结果。如果一个坏人输入了错误的主密码,他只会得到一个不同的用户名/密码组合,与“真实”的无法区分。

    这是我到目前为止想出的 bash 脚本:
    #!/bin/bash

# robust bash scripting
set -o errexit
set -o nounset
set -o pipefail

# external programs
OPENSSL=$(which openssl)
SED=$(which sed)
CUT=$(which cut)

# get identifier
read -s -p "id = " ID
echo ""

# read password
read -s -p "pw = " PW
echo ""

# generate username
printf "%s" "$ID" | { printf "%s" "$PW" | "$OPENSSL" enc -e -aes-256-cbc -pass stdin -salt -S "0000000000000000" -in /dev/fd/3; } 3<&0 | "$OPENSSL" dgst -sha512 -binary | "$OPENSSL" enc -base64 -A | "$SED" 's/[^a-zA-Z]//g' | "$CUT" -c -8

# generate password
printf "%s" "$ID" | { printf "%s" "$PW" | "$OPENSSL" enc -e -aes-256-cbc -pass stdin -salt -S "1111111111111111" -in /dev/fd/3; } 3<&0 | "$OPENSSL" dgst -sha512 -binary | "$OPENSSL" enc -base64 -A | "$CUT" -b -32

    如您所见,用户名和密码是由
  • 使用 AES 使用给定的主密码加密标识符字符串,
  • 使用 SHA 对结果进行哈希处理,
  • 执行 base64 转换,和
  • sed ing 和 cut 将输出输出为用户名和密码的合理格式。

    • 我试图使任何方面都尽可能安全。对于标识符和密码输入,使用 bash 内部 read。此外,当密码通过管道传输到 openssl 时,会使用 bash 内部 printf 。显然,使用过的盐只是占位符。在最后阶段,这些应该由使用脚本的任何人替换。

    例子

    这是一个示例(假设上述脚本已保存为 myscript.sh :
    $ ./myscript.sh
$ id = mylogin@stackoverflow.com
$ pw = 12345
$ CbAMaZar
$ XFTD9VRwQxFbU4tHKuiJvy5c18oJaDbg

    最后两行指定生成的用户名和密码。

    现在,假设有人对我一无所知,除了主密码 ( Kerckhoffs's principle )。坏人来了:
    $ ./myscript.sh
$ id = mylogin@stackoverflow.com
$ pw = 23456
$ MNLManDN
$ pczRREIy9+ag/0Y7jauAWpm5sllh5sjg

    要检查这是否正确,他必须实际尝试生成的登录名。

    问题

    现在,我的问题是如何提高此脚本的安全性(在密码学和 bash 脚本方面)。当然,如果坏人有 root 访问权限或知道主密码,一切都会丢失。这就是我不打算使用这种方法管理重要帐户的原因。

    但是,如果有人知道我正确的帐户用户名和密码(例如通过 SQL 注入(inject)),则应该没有(现实的)方法来找到我的主密码或任何其他帐户用户名/密码组合。此外,系统上的任何非 root 用户都不可能找到生成的用户名/密码对或我的主密码。

    那么,对于 SO: 的所有安全、密码学和编程专家来说,上面的脚本中是否存在任何安全问题,或者可以将其视为“安全”吗?

    最佳答案

    我一直在为我的用户名/密码使用非常相似的方案。到目前为止,它对我来说效果很好。

    我要说的第一件事是从标准的加密散列算法开始。据我所知,这个应用程序没有真正需要与加密结合,你只需要得到一个不可逆转的输出到你的初始密码。使用标准和安全的东西(不是 md5),并确保您的 key 足够复杂,以避免您的密码之一出现在标准查找表中。

    我只是使用诸如 MyHash(key + sitename) 之类的东西...您可以通过加密/计算站点名称中的某些内容并将其添加为盐来使其更安全,但是,我个人认为这对于此应用程序来说太过分了...虽然不是安全专家 - 这实际上取决于您使用它的目的。您最终会在易用性与安全性之间取得平衡——我可以根据经验说,您需要一种可以在必要时重新创建的算法。

    我从使用它几年中学到的一些东西-

  • 许多网站都喜欢强制设置最大密码长度,我讨厌这些网站以及它们所代表的一切。我被迫将我的 base64 编码结果截断为 19 个字符以标准化事物,因此我不必记住我的密码 + 它们截断的任意数量的字符。
  • 使用标准的东西,这样您就可以在远离计算机时重现密码。
  • 有时这个方案会随机生成一个全是字母的密码,尽管超过 99.9% 的密码会被您使用的网站声明为弱/不合适。您对此无能为力 - 我只是添加一个数字/增量,直到它停止提示。

    • 我使用标准用户名,所以我的方案与您的略有不同,但希望这里的总体思路可以有用。

    关于linux - 可以提高此用户名/密码生成器脚本的安全性吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22271366/

    生成器linuxbrcode34bashsecuritycryptographyopenssl

    有关linux - 可以提高此用户名/密码生成器脚本的安全性吗?的更多相关文章

    1. ruby - 为什么我可以在 Ruby 中使用 Object#send 访问私有(private)/ protected 方法? - 2

      类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc

    2. ruby - 使用 Vim Rails,您可以创建一个新的迁移文件并一次性打开它吗? - 2

      使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta

    3. ruby - 我可以使用 Ruby 从 CSV 中删除列吗? - 2

      查看Ruby的CSV库的文档,我非常确定这是可能且简单的。我只需要使用Ruby删除CSV文件的前三列,但我没有成功运行它。 最佳答案 csv_table=CSV.read(file_path_in,:headers=>true)csv_table.delete("header_name")csv_table.to_csv#=>ThenewCSVinstringformat检查CSV::Table文档:http://ruby-doc.org/stdlib-1.9.2/libdoc/csv/rdoc/CSV/Table.html

    4. ruby - 如何使用 Ruby aws/s3 Gem 生成安全 URL 以从 s3 下载文件 - 2

      我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A

    5. ruby - 我可以使用 aws-sdk-ruby 在 AWS S3 上使用事务性文件删除/上传吗? - 2

      我发现ActiveRecord::Base.transaction在复杂方法中非常有效。我想知道是否可以在如下事务中从AWSS3上传/删除文件:S3Object.transactiondo#writeintofiles#raiseanexceptionend引发异常后,每个操作都应在S3上回滚。S3Object这可能吗?? 最佳答案 虽然S3API具有批量删除功能,但它不支持事务,因为每个删除操作都可以独立于其他操作成功/失败。该API不提供任何批量上传功能(通过PUT或POST),因此每个上传操作都是通过一个独立的API调用完成的

    6. ruby - 有人可以帮助解释类创建的 post_initialize 回调吗 (Sandi Metz) - 2

      我正在阅读SandiMetz的POODR,并且遇到了一个我不太了解的编码原则。这是代码:classBicycleattr_reader:size,:chain,:tire_sizedefinitialize(args={})@size=args[:size]||1@chain=args[:chain]||2@tire_size=args[:tire_size]||3post_initialize(args)endendclassMountainBike此代码将为其各自的属性输出1,2,3,4,5。我不明白的是查找方法。当一辆山地自行车被实例化时,因为它没有自己的initialize方法

    7. ruby - 是否可以覆盖 gemfile 进行本地开发? - 2

      我们的git存储库中目前有一个Gemfile。但是,有一个gem我只在我的环境中本地使用(我的团队不使用它)。为了使用它,我必须将它添加到我们的Gemfile中,但每次我checkout到我们的master/dev主分支时,由于与跟踪的gemfile冲突,我必须删除它。我想要的是类似Gemfile.local的东西,它将继承从Gemfile导入的gems,但也允许在那里导入新的gems以供使用只有我的机器。此文件将在.gitignore中被忽略。这可能吗? 最佳答案 设置BUNDLE_GEMFILE环境变量:BUNDLE_GEMFI

    8. ruby - 我可以将我的 README.textile 以正确的格式放入我的 RDoc 中吗? - 2

      我喜欢使用Textile或Markdown为我的项目编写自述文件,但是当我生成RDoc时,自述文件被解释为RDoc并且看起来非常糟糕。有没有办法让RDoc通过RedCloth或BlueCloth而不是它自己的格式化程序运行文件?它可以配置为自动检测文件后缀的格式吗?(例如README.textile通过RedCloth运行,但README.mdown通过BlueCloth运行) 最佳答案 使用YARD直接代替RDoc将允许您包含Textile或Markdown文件,只要它们的文件后缀是合理的。我经常使用类似于以下Rake任务的东西:

    9. ruby - 一个 YAML 对象可以引用另一个吗? - 2

      我想让一个yaml对象引用另一个,如下所示:intro:"Hello,dearuser."registration:$introThanksforregistering!new_message:$introYouhaveanewmessage!上面的语法只是它如何工作的一个例子(这也是它在thiscpanmodule中的工作方式。)我正在使用标准的ruby​​yaml解析器。这可能吗? 最佳答案 一些yaml对象确实引用了其他对象:irb>require'yaml'#=>trueirb>str="hello"#=>"hello"ir

    10. ruby - 可以通过多少种方法将方法添加到 ruby​​ 对象? - 2

      当谈到运行时自省(introspection)和动态代码生成时,我认为ruby​​没有任何竞争对手,可能除了一些lisp方言。前几天,我正在做一些代码练习来探索ruby​​的动态功能,我开始想知道如何向现有对象添加方法。以下是我能想到的3种方法:obj=Object.new#addamethoddirectlydefobj.new_method...end#addamethodindirectlywiththesingletonclassclass这只是冰山一角,因为我还没有探索instance_eval、module_eval和define_method的各种组合。是否有在线/离线资

    随机推荐