如何不硬编码密码？

Question

在我的最后一个问题“用于存储秘密的便携式数据库”迄今为止最好的答案 告诉使用 sqlite-crypt。

阅读 sqlite-crypt 文档，打开数据库的新参数是密码。 当然，我不想对密码进行硬编码，所以我在想存储密码的最佳、简单且快速的方法是什么？

Answer 1

一些选项。

1. 要求用户提供一个密钥（也就是他们记住一个密码来获取所有密码）（好主意）

2. 在应用程序首次启动时创建一个密钥，然后以您自己独特的方式对其进行哈希处理（坏主意）

3. 使用上述的混合，又名给用户一个或两个选项（记住我的密码复选框）

Answer 2

您很好必须将其存储在用户中。

否则，您只是用其他安全机制代替您所询问的安全机制...

---

大卫在 Infamy 的回答评论中的观点很好理解。 人们应该允许一定的灵活性，以防用户在较低层处理保护......所以，去投票支持 Infamy。

Answer 3

在某些时候，硬编码是不可避免的，除非密码仅以交互方式使用。

在密码存在文件的情况下，您可以做的最好的事情就是首先使其很难访问它，然后限制如果有人找到它可以用它做什么。 根据经验，您不应为存储在字符串中的密码授予比必须在提示符下键入的密码更多的权限。

Answer 4

在 Windows 上，您可以/应该使用 DPAPI，提供存储加密的数据保护 API。
它就是专门针对此类问题的。

存储加密基于：

• 用户帐户，因此只有登录用户才能访问数据。 这使得数据可以传输到具有完全相同的用户凭据的另一台电脑。
• 机器，使数据只能在该特定机器设置上访问，而不能传输到另一台 PC。

有一个 Karl Franklin 的 dnrTV 节目 准确地展示了实现这一点所需的内容，以及其他加密功能。
该节目的源代码也可以在该页面上找到。

当然，还有很多其他文章关于这个话题。