1. ホーム
  2. 質問と答え
  3. ウェブ上のログイン情報を安全に掲載できますか?

ウェブ上のログイン情報を安全に掲載できますか?

2011-06-22 5 views
1

私は本当にこれが安全に行われる方法はないと思っていますが、おそらくタスクに近づくためにはもっとボックス外の方法があります。ウェブ上のログイン情報を安全に掲載できますか?

私はプロジェクト管理サイトで働いています。これらのプロジェクトのいくつかはウェブサイトであるため、クライアントはftp、データベース、およびホスティング情報を表示できるようにしたいと考えています。これは、Web上で暗号化されていないユーザ名とパスワードを表示する必要があります。私は明らかにこのサイトでは、他のサイトを破壊する可能性のある情報を持っている場合は、クラックされるので、この巨大なリスクを参照してください。

私がこれにアプローチする方法の1つは、パスワードを暗号化し、そのパスワードを解読するマシンにローカルに保存するアプリケーションを作成することです。これは私が考えることができる唯一の「安全な」方法です。

出典

2011-06-22 Cvongrim

+0

ローカルアプリケーションをすべてインストールできる場合は、それらのパスワードアプリケーションのいずれかを使用してパスワードを保存させるだけです。 – Skilldrick

+0

そのような情報を表示する必要がある理由がわかりません。クライアントはそれをどのように使用しますか?より低い権限のユーザ名/パスワード、または一度のユーザ名/パスワードを教えてください。なぜ私はあなたがこれをやっているのかよく分かりません。 – CtrlDot

+0

これはプロジェクト管理ツールです。だから、現在進行中のすべてのプロジェクトとそれに伴うすべての情報を追跡するシステムを持つことが目的です。 – Cvongrim

答えて

0

あなたは間違いなく安全なパスワードを維持するために(SSLは良い提案である)、暗号化のいくつかの並べ替えを必要とするだろうが、同じようウェブ上でそれらを「見る」という点で、あなたが何かをすることができます:

は、ユーザーが入力した持っています「サイトパスワード」。ボットがパスワードを取得しないようにキャプチャを使用することもできます。これにより、短い時間、例えば10秒間自分のパスワードを見ることができます。それらのパスワードは、入力ボックス、または何らかの種類のボックスに表示され、それは読み込み専用です。パスワードをコピー/ペーストすることはできません。

ユーザー名とパスワードの情報を画面上に表示することは間違いなくセキュリティ上のリスクですが、これはセキュリティの情報がどのように影響するかによって異なります。

パスワードを表示する必要がある場合は、次回のログイン時にパスワードを変更する必要があります。これにより、現在のパスワードを表示できますが、そのパスワードを持つセキュリティリスクは無効になります彼らはすぐにそれをリセットするので盗まれた。

このすべては、情報がどれほど敏感であるかによって異なります。

出典

2011-06-22 14:52:48 dmackerman

+0

これは、パスワードを表示した後にパスワードを変更できないという問題です。 login/pwは他の人によって設定されている可能性が高いため、変更するアクセス権はありません。 – Cvongrim

0

おそらく、クライアント側でデータを暗号化/復号化するために、パスフレーズを入力してデータをローカルで復号化し、フォームの提出前に暗号化するようにjavascriptライブラリを使用できます。このようにして、暗号化されたデータだけがネットワーク経由で転送され、パスフレーズでは暗号化されたデータにのみアクセスします。

出典

2011-06-22 15:00:09 malko

0

これを行う最も簡単で安全な方法は、SSLを使用することです。

あなたが通過することができない場合は、通過中に情報を暗号化する独自の方法を考え出す必要があります。これは困難です。 Diffie-Hellman鍵交換(http://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange)のようなものが必要です。これは、クライアント側が選択できる多数の素数です。交換されたキーを使用して情報を暗号化および復号化するためのJavaScript。これを改善するには、javascriptを事前にキャッシュし、第三者からダウンロードし、チェックサムを行ってJSが変更されていないことを確認します。

しかし、暗号コードと素数はインターネットを介して平文で送信されるため、攻撃者がPOSTを送信する場所や情報の暗号化方法を操作できるように改変することができます。

SSLを使用していない場合、情報が安全に転送されることを保証する方法がありません。

あなたがするかもしれないことは、PGPを利用することです。ユーザーが公開鍵をアップロードすると、安全にメッセージを返すことができます。これは、PGPソフトウェアがブラウザ/インターネットから独立しているためです。

出典

2011-06-22 17:01:21 Richard

+0

誰も、機密情報の転送にSSLを使用しないという考えを今まで以上に楽しんでください。 –

+0

@ lunched-dan、明らかに安全でない媒体を介して情報を安全に転送するには、ある種の暗号化が必要です。 SSLはうまくパッケージ化された素晴らしいソリューションですが、世界には他にも多くの暗号化方式があることがわかります。これらをHTTP経由で使用することは、やっかいなことですが、完璧であり、安全です。 – Richard

0
  • 安全な通過のためにSSLで開始してください。
  • 情報を保存する前に暗号化してください。
  • ハッカーたちがこれらのサイトに侵入する仕組みについての記事を読み、難しい教訓を学ぶ前に穴を埋めてください。
  • NEVERパスワードを表示する必要はありません。ログインリンクを使用して、ユーザーがトークンをクリックして適切な権限レベルを持つことを確認するトークンとチェックを含めることができます。

例:従業員が解雇されます。彼は動揺して、表示されているすべてのパスワードで画面をキャプチャします。あなたの会社または元のクライアントにとっては素晴らしい状況ではありません。

私の方法を使用すると、ユーザーは画面をキャプチャしてリンクをコピーすることはできません。トークンが取り消されてリンクが機能しないため、効果はありません。クライアントサイトはこのように安全です。

出典

2013-01-10 11:14:49

関連する問題

 関連する問題