如何在应用程序配置中管理密码

Question

我正在开发一个与许多外部系统 API 交互的系统。其中大多数都需要某种形式的身份验证。为了可用性，有一个“应用程序范围内可访问”的 AppConfig，用于存储配置信息以及外部系统的凭据。

我的问题是，将用户名和密码（以明文形式）存储到应用程序配置文件中的外部系统是否是一个坏主意。如果是这样，你如何避免它？

为了访问配置文件，您要么必须破坏服务器的文件系统，要么破坏另一台服务器（或者当然是任何开发人员的系统）上的 git 存储库。我一直认为对配置文件中的密码进行加密并不会提高安全级别，因为加密密钥也必须存储在某个地方。我这件事有错吗？

我非常感谢解释您如何解决此问题的答案。

解决方案

好的，这是我的最终解决方案。我使用 OpenSSL 创建了一个简单的库来加密和解密我的敏感数据。加载配置时会从用户处检索密钥，但在生产服务器上除外，密钥存储在文件中。它仍然不是最佳解决方案，但它比我之前的“解决方案”要好得多。

谢谢您的回答。我会接受韦恩的回答，因为它提供了最多的信息。

Answer 1

良好的安全性很难。

正如 Bruce Schneier 所说，“安全是一种权衡。”您必须决定您希望此信息的安全程度，以及您希望花费多少时间来保护所述信息。而且您绝对不想将密码以纯文本形式保留在那里，这是一个禁忌。如果您处于这样的情况，那么您就处于不应该进行用户身份验证的情况。

尽管安全性很困难，但您可以做一些事情。

1）使用某种类型的编译程序来进行加密/解密。您不希望有人打开 Python/perl 脚本并说“啊哈，这只是一个简单的 XYZ 加密”，尽管理想情况下您不需要简单的加密。

2）通过隐匿性实现的安全并不是真正的安全，但它可以帮助防止随意窥探。例如，将文件命名为“passwords.txt”并不是一个非常好的主意，但加密您的密码，然后使用隐写术在某些图像文件中隐藏用户/密码会更好。

3）查找强大的加密/解密算法。其中一些已经在大多数语言中实现，您只需导入库即可。这可能是坏事，也可能是好事，具体取决于您认为自己想要这些东西的安全程度。

但老实说，这个系统在安全方面确实很糟糕。理想情况下，您有两方身份验证，然后由受信任的中间人完成所有的兜售和交易。例如，当您登录计算机时，您就告诉计算机您是授权用户。从那里您可以运行所有程序，他们不会询问或关心您的用户/通行证组合 - 只是您是授权用户。他们从操作系统（中间人）获取此信息。哎呀，即使是 SO 也使用 openID 来确定您是受信任的用户 - 他们不关心您在其他网站上的凭据是什么，只关心其他网站说“是的，这是一个有效的用户”。

如果您可以选择，我会认真考虑切换您的身份验证模型。如果没有，祝你好运。

Answer 2

关于实际示例，Web 服务器以纯文本形式将数据库登录详细信息存储在服务器上。如果有人访问了您的服务器，无论如何您都会被搞砸。但是，为了保护这些密码免受不受欢迎的机会主义入侵者的侵害，我个人喜欢额外的一层，这样会感觉更安全。安全总比后悔好，对吧？

由于这些密码用于外部系统，因此谨慎的做法是使用另一层加密来保护这些密码。是的，通过默默无闻实现的安全性很糟糕，但是您不认为如果有人不得不偶然发现它们，它可以起到很好的威慑作用 - 纯文本密码只是乞求被盗取。

我建议使用 1024 位加密，有一些很好的算法。我还建议对您加密的每个条目使用 64/128 位随机盐，这样即使一个条目的密码被暴力破解，该解决方案也不适用于其他条目。随机加盐可以防止彩虹表攻击，这会迫使您的破解者使用暴力，这会更加耗时。

是的，这些预防措施看起来有些偏执，但如果我尝试破解自己的密码（当然是为了研究兴趣），我可以想象一些恶意的人可能会尝试什么。

编辑： 盐如何使加密更安全的示例，即使加密密钥已知。

Answer 3

一些 webbserver 需要在启动时加载对称加密的证书。为了解决这个问题，他们要求在启动时输入密码。这样它就只存储在内存中。

优点：

• 主密码永远不会存储在磁盘上。
• 无法从 ps Fax 中提取主密码。

缺点：

• 主密码仍然可以通过内存转储提取（由运行 webbserver 和 root 的用户）。
• 如果没有用户干预，您的进程无法自动重新启动。这可能是没有更多人选择此选项的最大原因。幸运的是，网络服务器很少崩溃。