15回答
使用端口敲门,您必须按照定义的顺序对特定端口进行“敲门”,以公开运行服务的端口。
密码敲门怎么样?例如,您有三个密码:A、B和C。它们中没有一个本身是正确的,但按这个顺序一个一个地输入,它们将允许您访问。
为了使这一想法更加清晰,有些场景:
场景1.
你:密码A。
服务器:无效密码。
你:密码B。
服务器:无效密码。
你:密码C。
服务器:密码已接受。
场景2.
你:密码A。
服务器:无效密码。
你:密码C。
服务器:无效密码。
你:密码B。
服务器:无效密码。
场景3.
你:密码A。
服务器:无效密码。
你:密码B。
服务器:无效密码。
你:密码B。
服务器:无效密码。
你
浏览 0提问于2015-02-19得票数 108
回答已采纳
在位桶服务器上更改密码后,
I没有得到密码提示输入新密码.
不需要新密码,而是继续尝试使用旧密码从位桶服务器获取代码。
在从服务器获取/提取代码时,尝试使用旧密码多次下载代码。之后,它继续要求在浏览器上填充captcha。。
我们是否允许服务器选择新密码?
浏览 7提问于2020-06-25得票数 0
我用Ubuntu 16建立了一个专用服务器,我使用ssh来访问它。我用密钥对创建了访问权限。我想使用SFTP,我的密码很简单,所以我在服务器上更改了用户的密码(而不是根密码)。但是,新密码对FTP无效。我再次尝试了我的旧密码,FileZilla连接到服务器上。请注意,在我的服务器上密码被更改了(所以我知道这不是问题)?怎么回事,我需要重新启动服务器吗?
更多信息:在更改密码之前,我用SFTP访问了服务器,所以它可以使用旧的服务器,但仍然使用旧的密码.
谢谢。
浏览 0提问于2016-08-25得票数 2
回答已采纳
3回答
我正在编写一个web服务,它充当许多其他服务的代理,对于每个这些服务,我都需要为该特定服务传递用户密码。
我希望将密码加密细节保留在服务的主要部分之外,让客户端处理服务的另一个专门部分(现在我们称之为“加密服务”),以便事先获得密码令牌。客户端和服务器就加密方法达成一致,客户端将密码上载到加密服务,服务返回一个ID,当指定密码值时,该ID可以与主服务一起使用。
主服务知道在会话期间上载到加密服务的所有密码。它没有知识,也不关心使用了什么加密方法。
我的问题是:在这里我应该使用什么术语?一定存在着某种类似的系统。我正在努力确定如何命名该系统的以下部分:
加密服务,它实习生上传的字符串并返回它
浏览 0提问于2010-08-30得票数 2
12回答
当我向服务器发送密码(即使使用SSL或TLS )时,我担心服务器会将密码存储在明文中。是这种情况吗?如果是和服务器被黑客攻击,所有密码是可用的明文,并可用于其他网站。
是否有任何机制可以保证在到达服务器端之前对密码进行散列,使其对服务器是唯一的,例如在客户端附加散列呢?那么,在服务器/攻击者也不知道种子的情况下,哪个种子将被用来重构相同的哈希呢?
Update1:场景是网站的日常使用。我知道服务器“应该散列密码”和“用户应该有不同的密码”,但这是不现实的情况。@密码-保险箱:如果你在运行呢?@每个站点的不同密码:不现实
有关答复:
https安全性-密码应该是哈希服务器端还是客户端?
unde
浏览 0提问于2011-12-07得票数 12
回答已采纳
1回答
我目前正试图在centos6.5服务器上安装mySQL服务器。我没有根密码,因为我使用SSH密钥对访问服务器。
在安装过程中,提示内容如下:
“为了登录到MySQL来保护它,我们需要根用户的当前密码。如果您刚刚安装了MySQL,并且还没有设置根密码,则密码将为空,因此您只需按enter在这里。”
然后按enter而不提供密码,就会发出以下提示:
设置根密码可以确保在没有适当授权的情况下,任何人都不能登录MySQL根用户。设置根密码?Y/n
这是要求我为服务器创建一个根密码还是只为mysql创建一个单独的根密码?如果它想设置服务器根密码,是否有一种不需要设置服务器根密码的保护mysql的方法?
浏览 0提问于2015-05-08得票数 0
回答已采纳
例如,从我的Windows,我通过图形用户界面(如MobaXterm )连接到我的个人Ubuntu服务器,在该服务器中,我生成了RSA密钥并将其复制到另一个远程服务器,这样我就可以不使用密码连接到远程服务器,并禁用密码访问。
因此,远程服务器被认为是安全的,它没有密码访问,但是我自己的服务器呢,我用它连接到没有密码的远程服务器呢?
是否就像,一个永无止境的链,初始服务器将始终有SSH密码访问,以便能够继续通过它连接到无密码服务器?
浏览 0提问于2018-04-27得票数 0
我正在进行一个项目,我的目标是将服务器的密码存储在密码管理器中(以升级安全性),因为大多数服务器几乎都有相同的密码。
这样做的目的是在不访问任何服务器的情况下存储密码并更改密码。我找到了KeePass (和其他人),但是我想知道是否可以将KeePass服务器链接到VMware服务器来管理密码。
浏览 0提问于2017-02-24得票数 0
5回答
我不确定标题是否准确,如果适当的话,请随意重命名这个问题。
我正在考虑在远程服务器上存储敏感数据的服务。为了最大限度地保护隐私,数据将在客户端上加密(使用AES),加密密钥不存储在任何地方,因此,如果服务器受到破坏,敏感数据仍然相对安全。
现在的问题是,我需要第二个密码来访问服务,但是这个第二个密码必须存储在服务器的某个地方。
当用户注册时会发生这样的情况:
用户选择用户名/密码(密码A)和加密密钥(密码B)。
散列(密码A)存储在服务器上
密码B不在任何地方存储。
然后:
用户输入密码 =>密码A被发送到服务器
服务器针对用户db检查散列(密码A),授予访问
浏览 3提问于2012-02-24得票数 1
回答已采纳
一个基本的ZKPP (零知识密码证明)是基于服务器能够挑战客户端,然后客户端可以证明它知道密码(以一种可以对服务器进行验证的方式),而无需传输密码本身。
但是,为了让服务器发出质疑并验证响应,服务器似乎需要使用明文密码。任何访问服务器的人都可以简单地检索密码。
是否有可能创建一个ZKPP,使服务器只维护密码的散列版本,但仍然能够发出挑战和验证?
浏览 0提问于2014-05-02得票数 2
回答已采纳
我试图理解零知识密码校对的用例。
显然,远程服务器存储密码散列并不理想。然后
我需要上传密码到服务器进行验证。服务器知道我的密码。
我需要依赖SSL,这样人们才不会窃听密码。
如果有人攻击服务器,他们可以对我的密码进行字典攻击。
但是ZKPP给我们买了什么和上传到服务器的公钥呢?然后,当我想要登录到服务器时,服务器会生成一个nonce,并使用我的私钥签名它?
这包括把我的私钥存储在我的机器上。有人可以偷这个。因此,通常使用密码对私钥进行加密。密码可能很弱,因此有人可以执行字典攻击,试图解密私钥。
这是ZKPP应该停止的那种攻击吗?
浏览 0提问于2018-09-25得票数 8
回答已采纳
当我们在LDAP服务器上更改用户密码时,用户可以使用随机密码创建新密码。问题是用户能够在一些服务器上使用他以前的密码。尽管我们在LDAP服务器上更改了用户密码,但以前的密码不适用于登录。
为什么以前的密码仍然有效?
如何解决这个问题?希望密码同步发生延迟。
浏览 9提问于2021-12-19得票数 0
在Active Directory中,您可以在用户必须使用强密码、不能使用他们已经拥有的最后5+密码、执行密码复杂性的情况下设置和强制执行规则。是否有一种方法可以强制执行这些设置,以便如果服务帐户(密码重置web服务)试图为用户设置新密码,则会根据策略进行检查,并被接受或拒绝?
看来,由于服务帐户正在强制更改密码,用户可以通过web接口输入相同的密码,并不断重复使用相同的密码。因为它是一个服务帐户,所以没有检查他的密码,所以密码规则不强制执行。
虽然程序员可以编写复杂度检查,但最后使用的密码检查不能在web界面上检查,因为webservice不知道最后的密码。
是否可以强制这样做,以便服务帐户
浏览 0提问于2014-05-29得票数 8
回答已采纳
我知道ipmitool可以重置自己服务器的ipmi密码。但是,当我在服务器上时,如何重置另一个服务器的ipmi密码呢?
我的意思是,我有一个IPMI控制器,可以访问另一个服务器的IPMI地址。现在我忘记了服务器的IPMI密码之一,是否可以在IPMI控制器中重置忘记密码的IPMI密码?
编辑-01
我不能重新启动忘记的IPMI密码服务器,因为我不能登录到服务器的管理页面,而且我不在数据室手动重新启动它。
浏览 0提问于2019-01-14得票数 0
2回答
存储web服务密码的最佳实践
、、、、
设想情况:
web应用程序(RoR 3.2)需要与远程web服务(SOAP,使用Savon )交谈。
web服务需要用户名和密码。
通信是SOAP,通信是通过VPN (SOAP没有SSL )。
我需要存储远程Web服务管理员给我的密码。
web服务管理员要求我以一种安全的方式存储密码。
当我的web服务器调用web服务时,我需要使用原始密码。
Bcrypt是存储密码的最佳方式,但它是“单向”的。
我不能发送加密的密码,我需要一种方法来解密它,以便能够将它发送到web服务。
这似乎是一个“鸡蛋加鸡”的问题。
是否有一种方法可以安全地存储密码并将其解密以供自
浏览 12提问于2012-12-08得票数 4
回答已采纳
我使用RSA密码对证书进行签名,并使用SSL_CTX_set_tmp_ecdh_callback() api设置密钥交换的ECDH参数。服务器总是选择TLS_ECDHE_RSA_*密码套件。如果我让客户端只发送clientHello中的clientHello密码套件,服务器就会中断连接,声明“没有共享密码”。
有人能告诉我如何使服务器在ECDHE_*之上选择一个ECDHE_*密码吗?
服务器如何决定我应该选择ECDH_*密码而不是ECDHE_*密码?
浏览 5提问于2016-12-27得票数 1
回答已采纳
下面是我的场景:我有一个必须24/7运行的服务,并且依赖于具有密码的第三方服务。
我需要修改密码。如果我盲目地更改密码,我的服务将不再工作,因为它将继续使用旧密码,直到重新配置。无论我如何快速地重新配置我的服务,都有一段时间第三方服务已经更改了密码,而我的服务还没有被重新配置。
这种情况通常是如何处理的?
浏览 0提问于2013-10-01得票数 -1
他们最近改变了我们的域名密码过期策略。现在,TFSReports服务帐户密码无效,报表服务器无法启动。我有没有错过这个“修复它”计划的任何步骤?
以TFSSetup帐户登录服务器(该帐户尚未过期!)
更改Windows帐户TFSReports的密码
在Windows服务下重新启动Reporting
打开TFS管理控制台、应用程序层、报告服务摘要,然后选择“更新密码”并执行操作。
重新启动服务器
除了步骤4中的新密码外,还有其他信息需要输入吗?
浏览 0提问于2018-01-28得票数 0
我们有3个域控制器。DC1(中央DC),DC2 (ADC),DC3 (ADC)
FSMO角色如下所示
模式主-DC1域命名主机-DC1 PDC -DC3 RID池管理器-DC3基础设施主-DC2
我们可以重新设置密码,也可以在AD (DC2)中创建新用户。DC2服务器运行正常。工作服务器的OS版本是windows server 2016。
但是我们不能用这两个服务器(DC1,DC3)来做这些事情。当我们要重置用户的密码,创建一个新的用户时,会发生错误。
Windows无法完成__的密码更改,因为:密码不符合密码策略要求。检查最小密码长度、密码复杂性和密码历史记录要求。
工作服务器(DC1,DC
浏览 0提问于2022-09-25得票数 0
1回答
我想要一些关于我正在为需要发送用户名和密码组合的移动应用程序构建的流程的一些意见。我的想法是使用AES-256加密密码,生成一个随机的密码短语和IV来生成密钥。其思想是,当第一次生成密码时,它将加密的密码发送到服务器,而IV和加密的密码将存储在服务器的redis DB中,并且密钥和加密的密码将仅存储在移动设备上( IV将不被存储在设备上)。因此,每次用户需要登录时,将加密的密码和密钥发送到服务器,并存储IV,服务器使用刚刚发送的密钥和服务器上已有的IV对发送的加密密码和保存在数据库中的密码进行解密。
如果用户想要更改他们的密码,加密的密码,密钥和IV被再次生成,并被发送到旧的一个(密钥和加密的
浏览 6提问于2013-02-15得票数 1
回答已采纳
我有一个Flash/ActionScript登录客户端,它向服务器发送密码。在服务器上,该密码被检查为WordPress数据库。密码是用WordPress加密方法加密的。
我使用的是smartfoxserver2x,它在将密码发送到服务器并与数据库(WordPress-encrypted)密码进行检查之前对客户端的密码进行加密。
这就是流程:
在客户机上,纯文本密码由sfs2x加密并发送到服务器。
在服务器上,sfs2x使用checkSecurePassword()删除sfs2x加密,并将输入的纯文本密码与WordPress加密密码进行比较。他们显然是不同的。
在sfs2x论坛
浏览 2提问于2013-03-22得票数 1
我在服务器模式下启动了HsqlDB,并为管理员帐户SA设置了密码。然后我关闭了服务器。然后我重新启动了服务器,但是密码不见了。每次重启HSQLDB服务器时,必须重新设置HSQLDB SA密码吗?如何自动设置密码?
浏览 0提问于2011-03-31得票数 0
回答已采纳
我正在为我的Apache服务器申请受密码保护的SSL证书。每当我尝试重新启动Apache服务器时,都会询问密码短语,我可以手动输入密码短语,但是如何使用Ansible模块( systemd或命令)重新启动服务?如何在ansible中传递密码才能启动服务?
浏览 1提问于2018-06-11得票数 0
我正在设置一个家庭HTTP服务器,它可以向不同的客户端(安卓和iPhone应用程序)发送和接收JSON数据。
我希望只允许某些用户访问,并且我正在考虑使用一个简单的用户名/密码机制,因为设置客户端证书对于这个小项目来说似乎有点过分。
当然,我不能通过普通HTTP向服务器发送明确的密码,否则安装了wireshark/tcpdump的任何人都可以读取密码。因此,我在考虑以下机制:
HTTP服务器可以设置为HTTPS服务器
服务器还有用户名/密码数据库(密码可以用bcrypt保存)
客户端打开HTTPS连接,对服务器进行身份验证(因此需要服务器证书),在交换主密钥之后,应该对连接进行加密。
客户端将
浏览 0提问于2014-08-04得票数 111
回答已采纳
我想要从一个服务器到另一个服务器的sftp文件,这个东西我想包括在一个脚本中。但问题是目标服务器是密码保护服务器。因此,当密码提示出现时,需要输入密码。
如果我将这包括在脚本中,我不希望任何用户交互。它应该独立使用密码。(我知道密码,如何将密码包含在脚本中,以便它能够自动使用)
有人能帮忙吗?谷歌搜索了很多,但没有找到合适的答案。我无法减少连接密码,因为我正在生产服务器中工作。所以我不能对服务器做任何修改。但我想让我的剧本自己来处理。请帮帮忙。
浏览 0提问于2015-01-18得票数 1
1回答
我读过关于哈希和加密的文章,这样我就可以做出更明智的决定了。
我已经知道ssl和密码散列服务器端作为最佳实践的好处。然而,我想知道,作为一个平台持有者,对于我的用户来说,如果他们从来没有把他们的密码以原来的形式发送给我的服务器,是否会更好。例如输入密码,在客户端上散列,发送ssl,哈希加盐到数据库.在客户端和服务器上重新散列,并在登录时进行比较。
这会使服务声称根本没有用户密码吗?
更新这是标记为重复,但我的问题是保护密码不受服务本身,而不是任何男子在中间的攻击。对于服务器的SSL或纯文本,服务器将获得密码。是否有一种在服务器不知道密码的情况下发送密码/或登录的方法。希望这是合理的:)
浏览 0提问于2016-12-18得票数 2
1回答
我正在开发代码。从服务器,将使用派生将A ssh会话建立到服务器B,然后从服务器B sftp文件传输到服务器C。服务器A和B可以是无密码的,也可以根据早期的用户配置要求密码。请在下面找到代码:
#!/bin/bash
/usr/bin/expect <
问题是,在登录到ssh远程session.Its以获取密码后,if- TCL循环没有正确地执行密码提示或没有密码提示,即使登录是successful.Also,Ping to Server C是从服务器B运行的,而不是从服务器A运行的。
浏览 0提问于2020-04-23得票数 0
回答已采纳
1回答
我正在组织中将应用程序与LDAP集成。
我正在实现HTTPS,以便将密码从前端发送到我的应用服务器,然后使用TLS将密码从我的应用服务器转发到LDAP服务器。这样可以保证密码在传输过程中的安全。
但是,在我的应用服务器将密码转发给LDAP服务器之前,我的应用服务器仍然能够看到明文密码。
如果我在前端散列它,那么密码将与LDAP服务器上的密码不匹配。
为了将我的应用程序与LDAP集成起来,这是否是我需要接受的风险?还是我在某种程度上不正确地实现了这一点?
我的应用服务器是一个python应用程序,我正在实现LDAP3。
提前谢谢。
浏览 3提问于2019-11-12得票数 0
回答已采纳
在一个基于网络的auth系统中,我做以下工作:
客户端:向服务器要一个“现在”。
客户端:生成一个"cnonce“。
Client:散列(nonce+ cnonce +密码)
Client:将cnonce和散列从第3点发送到服务器。
服务器:散列(nonce+ cnonce +密码)
服务器:比较哈希。
这将要求我以明文/加密方式保存密码,因为服务器需要“密码”来计算要与之比较的散列。
当然,我不想这样做,因此我用散列(密码,salt)散列保存在服务器上的所有密码。但是现在我无法与客户端发送给我的散列进行比较,因为我没有密码组件。
解决这一问题的一种方法是向客户端提供唯一的用户盐,以便
浏览 0提问于2017-01-06得票数 1
回答已采纳
1回答
解密随机数据(改为密码)
、、、、
想象一个基于web的密码管理器。它使用浏览器中的javascript和对称加密算法,从服务器加密密码,从用户获得主密码,以获得站点特定的密码。
服务器不应该知道主密码,也不知道站点特定的密码,只有加密的表单.如果用户使用了不正确的主密码,那么他/她得到了不正确的站点特定密码,所以不应该有验证。
的问题:作为javascript没有很好的随机性,密码生成应该在服务器端进行。由于服务器不一定知道特定于站点的密码,我认为可以生成特定于站点的密码的随机加密形式,如果客户端用他/她的主密码对其进行解码,那么站点特定密码才会出现。
是否有一种算法可以从任意随机数据/主密码组合中解密一个合适的密码?对于如何
浏览 3提问于2014-09-13得票数 0
6回答
考虑以下互动:
用户将其用户名和密码存储在web服务器上。为了安全起见,服务器记录密码的散列和一些唯一的salt。
当用户使用客户端应用程序时,它会向服务器发出请求,提交他们的用户名和密码的散列以及其他一些唯一的盐类。
因此,您在服务器上有以下信息,并且需要知道请求是否是真实的:
服务器盐
服务器的散列密码
客户盐
客户端的散列密码
再一次..。客户端发送:clientSalt + MD5(clientSalt + password)。服务器有serverSalt + MD5(serverSalt + password)。我不想知道密码,我只想知道哈希是否是从同一个密码
浏览 2提问于2011-02-02得票数 0
回答已采纳
假设一个服务没有存储纯文本密码,我说得对吗?这个问题的答案取决于服务吗?在错误的服务上,哈希长度与密码长度相关。对一个好的服务来说,他们是无关的。这是我的猜测。
此外,密码翻倍在多大程度上增加了安全性?所以不用密码,用密码怎么样?
请注意,我不是专家,所以欢迎用户友好的解释。
浏览 0提问于2013-01-15得票数 7
'root'@'localhost' MySQL帐户只能由当前在承载MySQL服务器的服务器上的人访问。
假设只有负责MySQL服务器的人甚至拥有ssh的密码,并且服务器托管在内部网络上,所以您不能从外部访问ssh,那么是否有理由在MySQL服务器上为'root'@'localhost‘设置密码?
没有密码的理由:
在易失性系统中管理密码非常麻烦,因为系统中每增加一次密码都会增加熵。
如果密码丢失了,就会引起很多头痛。
如果有人将ssh编辑到机器中,并且机器的根密码与他们登录的用户相同,那么他们可以在没有密码的情况下启动MySQL。
如果
浏览 0提问于2015-07-06得票数 9
回答已采纳
1回答
我有一个在域服务帐户上工作的windows服务。该服务不会记住密码超过一天。我已经将服务设置为在失败时自动重启一次,因为我们有一些数据库连接问题,导致服务不时中断。
我的问题是服务不记得密码,每次服务停止时我都需要设置密码。
该服务器是windows server 2012 R2标准,并且是一台虚拟机。有人知道我可以试着让服务器记住密码吗?
浏览 13提问于2016-08-02得票数 0
回答已采纳
1回答
我将快速概述我们的应用程序的目的:
用户使用他的用户名和密码登录。他将收到一份他可以连接到的服务器列表。在选择服务器后,将建立到此服务器的连接。
关于使我们的需求复杂化的应用程序的更多细节:
一个用户可以拥有多个设备。
服务器列表可以在多个用户之间共享。
在我们的应用服务器上存储服务器密码的最好方法是什么?
我们已经玩过的想法:
使用用户密码作为密钥的对称加密
不会与共享列表一起工作
如果不希望用户每次使用应用程序时登录,则需要将用户的密码存储在客户端上
使用用户密码哈希(bcrypt)作为密钥的对称加密
不会与共享列表一起工作
如果攻击者能够访问服务器,他将能够使用用户的密码哈希解密服务器
浏览 0提问于2020-01-17得票数 2
当我在电子邮件、云和社交网络等web服务器上更改密码并尝试使用我以前的密码时,服务器会拒绝使用“不要使用先前的密码”。
这是否意味着服务器会存储我以前的密码?那怎么安全?
浏览 0提问于2018-12-26得票数 24
1回答
我想通过HTTP发送密码。
设想情况:
用户在表单中输入用户名和密码。
密码被散列并用用户名发送到服务器。
服务器检查密码哈希和用户名,并对用户进行身份验证。(服务器也不知道纯文本密码。)
如果有人以某种方式截取身份验证消息,他将获得哈希密码和用户名,并可能登录到该用户的帐户。根据服务器的说法,哈希密码本质上就是密码。
事情是这样的:--我不在乎。--很少有人会劫持这些数据,即便如此,如果你的账户被盗,你也可以做一个新的账户。
问题:在JavaScript中散列用户密码的好方法是什么?哈希不能使用随机盐,因为它需要被服务器识别。
我唯一关心的是,如果消息被截获,用户的纯文本
浏览 3提问于2014-09-30得票数 0
回答已采纳
我们正在编写使用shell脚本连接服务器的自动脚本。我们没有服务器的密码。我们只有公共ssh密码。我们已经尝试了密码短语,而不是这条评论中的密码,但它显示permission denied sshpass -p password ssh user@host。有没有办法通过shell脚本中的公共密码短语连接服务器?
浏览 1提问于2018-08-06得票数 0
我是一名学生,似乎我去过的每一所学校或大学都有你为你的用户帐户设置的一个密码,用于登录大学服务,然后将它与大学使用的外部服务同步,例如黑板、前端、dropbox、Office 365电子邮件等。
网络安全的第一课不是用纯文本存储密码,也不是加密密码。而是使用某种哈希算法。如果这是真的,一所大学的IT服务如何能够自动同步所有相关帐户的密码?我可以理解如何在每次请求密码更改时使用API更新所有服务,但如果用户不重新输入密码,就不可能采用新的服务。
怎么做的?或者他们只是用纯文本保存密码?
浏览 0提问于2019-01-20得票数 39
回答已采纳
问题:在windows服务的启动期间(在windows服务的C#实现中),是否可以更新该windows服务的密码?
背景:我们把密码储存在金库里。我们还使用带有密码的帐户登录windows服务。由于密码定期更改,我希望查询保险库以检查密码是否已更改,如果已更改,则更新windows服务的密码。每次windows服务启动时,我都想这样做。
我使用以下方法从单独的控制台应用程序(来自)更新windows服务的密码
public static void ChangeServiceAccountInfobyWMI(string serviceName, string username,
s
浏览 6提问于2022-03-28得票数 0
1回答
我正在实现一个客户-服务器系统。客户端使用用户名和密码登录,服务器(最初)使用一个令牌进行响应,该令牌在几个小时内到期,并用于其他需要身份验证的服务中。
当令牌过期时,应该如何刷新它?
持久保存用户名/密码(加密)并再次调用登录名
保存某种密码哈希?
还有其他选择吗?
如何将密码发送到服务器?
客户端应用哈希,服务器只存储它并验证散列(并且永远不知道真正的密码)。
客户端通过安全通道发送原始密码,服务器验证(长度、强度等)并存储散列?
还有其他选择吗?
浏览 3提问于2013-04-30得票数 1
回答已采纳
2回答
如果服务的“登录”帐户有密码,我可以正确启动服务。但是,当我删除用户密码并再次尝试时,我得到了错误:"Error 1069:由于登录失败“,服务没有启动。
服务不能在密码为空的帐户下运行吗?
浏览 1提问于2009-06-26得票数 5
回答已采纳
1回答
我正在开发一个密码管理器应用程序,该应用程序可以在远程服务器中保存用户的密码。在将密码发送到服务器之前,我需要在CTR模式下使用AES加密密码。客户端应该使用主密码登录/标识自己(该密码已在服务器中设置)。到目前为止,我一直在想:
客户端连接到服务器。
服务器发送随机值RAND1。
客户端生成一个随机值RAND2,并计算hmacKey = SHA1 (主值为RAND2 1\RAND2 2)。
客户端计算RAND2的HMAC,将其附加到RAND2并发送到服务器。
服务器(谁知道主密码)计算自己的hmacKey并验证客户端。
这个hmac密钥将在整个会话中使用。这安全吗?
浏览 0提问于2016-03-25得票数 2
回答已采纳
1回答
需要你的专家建议
如果服务器支持sslv3协议并使用CBC密码,我们可以推断服务器是否容易受到贵宾狗的攻击。
支持sslv3或TLS1.0并使用CBC密码的任何服务器。
我的理解正确吗?我知道这些攻击是在客户端被利用的,但是如果服务器可以通过任何方式使其易受攻击,那么它仍然是脆弱的。
现在,检测部分- AFAIK服务器不向客户端发送完整的密码套装列表,而只根据客户端提供的密码套装发送所选的密码服。
现在,使用nmap ssl_enum_ciphers脚本,我们可以列出服务器使用的密码套件。
这就是nmap文档对ssl_enum_ciphers脚本的看法:
This script repeate
浏览 0提问于2016-02-18得票数 2
回答已采纳
我在TCL中编写了一个代码片段,期望使用ssh从服务器1连接到服务器2。用户可能已经设置了服务器1和服务器2之间的无密码通信,或者它可能要求密码。代码应该处理以下所有这三种可能的场景:
如果在服务器1和服务器2之间启用无密码登录
不启用无密码登录,将显示密码:提示。
如果用户输入错误的密码,则需要输入第二个密码:提示,输入ctrl+c并退出。
请在下面找到代码
#!/usr/bin/expect -f
lassign $argv 1 2
spawn ssh -o StrictHostKeyChecking=no $1@$2
expect {
"*]#" { se
浏览 0提问于2020-04-27得票数 0
2回答
tl;dr:我想知道,当客户端不信任服务器时,检查密码是最好的方法。
我知道两种常见的服务器检查用户密码是否正确的方法:
服务器存储密码哈希,客户端发送密码,服务器哈希密码并将哈希与存储哈希进行比较。如果它们匹配,密码是正确的。
服务器将密码存储在明文中,并生成一个与密码和散列相结合的salt,然后将salt发送到客户端。客户端对密码和salt进行散列,并将该散列发回。服务器比较这两种散列,如果它们匹配,密码是正确的。
但是,这两种方法都要求客户端信任服务器,而第一种方法要求连接是安全的(而第二种方法显然不安全)。
我想过一种方法,但我不知道它是否好,因为我没有密码学的背景,我不知道什么扭曲可
浏览 0提问于2013-06-11得票数 4
回答已采纳
我们有一个为匿名访问定义的服务帐户,用于web服务器上托管的几个网站。此帐户可以访问多个网络资源,如报表服务器、文件服务器等。
在部署新网站时,我们使用相同的服务帐户进行匿名访问。IIS获取帐户的用户名/密码,然后打开确认密码对话框。
意外的是,我们在两个文本框中都输入了错误的密码,使用错误密码的新站点工作正常,但所有其他使用该服务帐户的以前托管的站点开始出现无法自动访问的错误。
有没有可能,当我们为新网站输入错误的密码时,帐户的密码被重置,所有网站都停止运行?
浏览 2提问于2010-03-24得票数 0
回答已采纳
1回答
我需要登录到黑莓企业服务器,但没有密码。
我做了以下工作:
更改AD中的BESadmin密码
使用新密码登录到BES
更改分配给所有黑莓服务的密码
停止,然后启动BAS服务。
但我还是无法登录。
有谁能帮我一下吗?
浏览 0提问于2012-07-11得票数 0
回答已采纳
因此,假设我尝试使用HttpsURLConnection通过HTTPS连接到web服务器。现在,如果我使用以下命令设置/限制客户端上的密码:
System.setProperty("https.cipherSuites", myCustomCipherSuites);
我想知道如何在我的Java客户端和web服务器之间协商密码。例如,如果我的密码套件包括medium、strong,并且web服务器支持弱、中、强、强...
1-是否选择“强”,即客户端和服务器上可用的最强密码? 2-是否存在由web服务器定义的优先级,然后在客户端上进行可用性检查,以找到具有最高优先级(在web服
浏览 1提问于2011-04-22得票数 2
回答已采纳
1回答
我正在写一个服务器-客户端程序。当一个新用户第一次安装并打开程序时,他必须输入一个密码。通过SSLSocket对服务器进行身份验证需要密码和电子邮件地址。
我知道如何安全地保存密码(存储salt和哈希密码),但是如何创建一个安全的系统,其中客户端自动将密码发送到服务器?我不希望用户每次登录时都输入相同的密码。
是否有可能创建这样一个安全的系统?因为如果我将散列和盐渍密码保存在一个.txt中,我就可以读取它,然后登录到服务器上?怎么可能创造出这样的东西呢?
编辑:我的客户端打开一个ssl套接字到服务器。
(1)在成功打开连接后,通过SSL发送普通密码是否安全?或者你会把哈希和咸的--送过去吗?
浏览 0提问于2020-03-27得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
