存储密码以针对另一个系统进行身份验证

Question

这不是常见的问题“存储纯文本用户密码安全吗？”。不，这不安全，我们都知道。

我正在编写一个小应用程序，该应用程序应该针对外部系统进行身份验证以执行某些操作，唯一可用的身份验证方法是通过用户名和密码。它是为人类设计的，无法更改。

有多个用户可以访问我的应用程序，并且每个用户都单独进行身份验证，但是他们都针对外部系统“共享”相同的身份验证数据，理想情况下由应用程序透明地管理。

“愚蠢”的解决方案是以纯文本形式存储用户名/密码并使用它进行身份验证，但显然这并不安全。密码可以加密，但如果有人闯入系统怎么办？

可能的解决方案：使用 DPAPI 透明地加密/解密密码（甚至可能是用户名）。这是个好主意吗？这安全吗？多台机器的设置怎么样（机器之间的加密是否兼容）？

您还有其他建议吗？

Answer 1

DPAPI 通常不能在网络场中使用 - 密钥存储是特定于计算机的。您没有指定某些用户是否共享一组凭据，而另一个用户是否共享另一组凭据。如果所有用户共享同一组凭据，请将其存储在 web.config 中并使用它。使用配置加密 API 或 web.config 文件中的简单 ACL 保护凭据。

如果不同的用户具有不同的第三方系统凭据，我将使用用户密码的哈希+盐作为加密密钥将凭据与用户一起存储。然后，即使恶意用户获取了您的数据库，他们也必须能够首先解密您的用户密码，然后才能尝试破解第三方密码。盐增加了这样做的额外难度。

Answer 2

请记住，DPAPI 密钥位于用户级别。除非您要为每个用户设置并存储单独的凭据集副本，否则 DPAPI 不会给您带来任何好处。唯一真正安全的方法是使用“受信任的子系统”模型，其中您以某个用户身份运行 Windows 服务，并将受保护的数据存储在该用户的 HKCU 配置单元中，并使用其 DPAPI 密钥进行加密。它代表用户对系统执行需要身份验证的所有操作，并且用户名/密码不会加载到用户的进程中。即使如此，如果用户是管理员，他们在技术上仍然可以通过调试服务进程来获取用户名/密码。

真正安全的方法是执行相同的操作，但远程使用 Windows 凭据对用户进行身份验证，让远程服务器代表用户采取操作。实际上只取决于用户名/密码的安全程度。

Answer 3

您需要保留纯文本用户名和密码以用于登录外部系统。您可以尝试自己加密该文件，然后以某种方式在应用程序中隐藏密钥。

然而，您的操作系统（例如 Windows）可能确实提供了保护文件的方法，并且这些方法很可能是由经验丰富的专家实施的 - 很难建议您投入时间来进行自己的操作！

，最好的方法是将您的凭据存储为纯文本，并依靠操作系统来保护文件，例如，

• 您的 Web 服务器作为自己的用户运行的加密主目录，这样只有它才能获取其数据
• 整个磁盘加密。

因此 如果这意味着无人值守，则需要在启动时提供机器/服务“登录”。

这个问题本身包含在安全免责声明中，因此这一点不需要费力。

• 它将阻止空闲的对等方访问服务器上的终端
• 它不会阻止访问正在运行的机器和物理设备的专门攻击者（从火线和 USB 设备到冷却剂攻击的所有攻击基本上都是无法防御的）
• 它赢得了不能阻止这些凭据在您的服务器和它们登录的其他系统之间受到攻击 - 如果其正常的 http 登录到其他系统甚至没有 http-digest 身份验证...