Tag: 密码

在Python中获取命令行密码input: 你知道如何在Linux中，当你尝试一些Sudo的东西，它告诉你input密码，当你键入，terminal窗口中没有显示（密码不显示）？有没有办法在Python中做到这一点？我正在处理一个脚本，需要如此敏感的信息，并希望它被隐藏，当我键入它。换句话说，我想从用户那里得到密码而不显示密码。

MySQL – 错误1045 – 访问被拒绝: 以某种方式，当我尝试通过命令行访问MySQL时，我设法得到这个错误： [root@localhost ~]# mysql -u root -p Enter password: ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES) 我已经尝试使用此HowTo重置密码没有任何运气。我卸载了MySQL完成并重新安装，但我仍然被要求input密码。我不知道为什么这样！有人可以帮助我得到MySQL的默认安装。环境 Fedora Core 10，完全root访问，Apache和PHP安装感谢您的任何帮助！！编辑对于所有那些想节省几个小时“血液咳嗽”的人来说 – 当你卸载MySQl的时候，彻底删除掉所有留下的东西。如果你不这样做，它将永远不会是一个新鲜的安装。

如何在Ruby中生成一个随机string: 我目前正在为“A”生成一个8个字符的伪随机大写string..“Z”： value = ""; 8.times{value << (65 + rand(25)).chr} 但它看起来并不干净，不能作为一个parameter passing，因为它不是一个单一的陈述。要得到一个混合大小写的string“a”..“z”加上“A”..“Z”，我把它改为： value = ""; 8.times{value << ((rand(2)==1?65:97) + rand(25)).chr} 但它看起来像垃圾。有没有人有更好的方法？

ASP.NET身份默认密码哈希，它是如何工作的，它是安全的？: 我想知道密码哈希默认实现在MVC 5和ASP.NET身份框架附带的UserManager ，是否足够安全？如果是的话，如果你能向我解释它是如何工作的？ IPasswordHasher接口如下所示： public interface IPasswordHasher { string HashPassword(string password); PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword); } 正如你所看到的，它并不需要盐，但是在这个线程中提到：“ Asp.net身份密码哈希 ”，它实际上是在幕后进行的。所以我想知道它是如何做到这一点？这盐是从哪里来的？我担心的是盐是静态的，使得它不安全。

SHA512与Blowfish和Bcrypt: 我在看哈希algorithm，但无法find答案。 Bcrypt使用河豚河豚比MD5好问：但是Blowfish比SHA512更好吗？谢谢.. 更新：我想澄清一点，我明白哈希和encryption之间的区别。是什么促使我以这种方式提出这个问题，本文作者将bcrypt称为“自适应哈希” https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2007/ 7月/够了，用最彩虹表，什么，你需要到专门关于安全密码的scheme/ 由于bcrypt基于Blowfish，所以我被认为Blowfish是一个哈希algorithm。如果答案已经指出encryption，那么在我看来，这不应该在这篇文章中有一席之地。更糟糕的是，他认为bcrypt是最好的。现在让我困惑的是，phpass类（用于密码哈希algorithm）使用bcrypt（即blowfish，即encryption）。基于这个新的信息，你们告诉我（河豚是encryption），这个class听起来不对。我错过了什么吗？

用于密码散列的非随机盐: 更新：我最近从这个问题中得知，在下面的整个讨论中，我（我确信其他人也是）也有点混乱：我一直称之为彩虹表，实际上称为哈希表。彩虹表是更复杂的生物，实际上是Hellman哈希链的变种。虽然我相信答案仍然是一样的（因为它不能归结为密码分析），但是有些讨论可能有些偏差。这个问题：“ 什么是彩虹桌，他们是如何使用的？ ” 通常情况下，我总是build议使用密码强的随机值作为盐，与散列函数（例如密码）一起使用，以防止彩虹表攻击。但是，盐是随机的，它实际上是密码学上必要的吗？任何独特的价值（唯一的每个用户，例如userId）在这方面就足够了？它实际上会阻止使用单个彩虹表来破解系统中的所有（或大部分）密码。但熵的缺乏是否真的削弱了哈希函数的密码强度呢？请注意，我不是问为什么要使用盐，如何保护它（不需要），使用单个常量散列（不），或使用什么样的散列函数。盐是否需要熵。感谢所有答案到目前为止，但我想专注于我（一点）不太熟悉的领域。密码分析的主要影响 – 我会很感激，如果有人有一些来自encryptionmathPoV的input。另外，如果还有额外的vector没有被考虑，那也是很好的input（参见@Dave Sherohman指向多个系统）。除此之外，如果您有任何理论，想法或最佳实践 – 请以证据，攻击情景或经validation据作为背景。或者甚至是可以接受的权衡的有效考虑…我对这个问题上的最佳实践（资本B资本P）很熟悉，我想certificate这实际上提供了什么价值。编辑：这里有一些非常好的答案，但我认为@Dave说，它归结为彩虹表的常见用户名称…也可能不太常用的名称。但是，如果我的用户名是全球唯一的呢？不一定是我的系统唯一的，但每个用户 – 例如电子邮件地址。对于单个用户来说，build立RT是没有任何意义的（正如@Dave强调的那样，盐不是保密的），这仍然会阻止集群。唯一的问题是，我可能会在不同的网站上有相同的电子邮件和密码 – 但盐无论如何不会阻止。所以，它回到了密码分析 – 熵是必要的，还是不是？（我目前的想法是从密码分析的angular度来看没有必要，但是这是出于其他实际的原因）。

腌制您的密码：最佳实践？: 我一直很好奇…哪个更好的时候，哈希密码：前缀，或后缀？为什么？或者是否重要，只要你盐？解释一下：我们（希望）现在知道我们应该在密码存储到数据库之前先encryption一个密码[ 编辑：所以你可以避免像最近发生的事情那样的事情 ]。通常这是通过在将密码与哈希algorithm传递之前串接盐和密码来完成的。但是这些例子各不相同…有些例子在密码之前加了盐。一些例子在密码后添加盐。我甚至见过一些尝试把盐放在中间。那么更好的方法是什么？为什么？有没有一种方法可以减less哈希碰撞的机会？我的谷歌search没有就这个问题做出体面的分析。编辑：伟大的答案乡亲们！对不起，我只能select一个答案。 🙂

C＃中的哈希和盐密码: 我刚刚通过DavidHayden的哈希用户密码文章之一。真的，我无法得到他想要达到的目标。这是他的代码： private static string CreateSalt(int size) { //Generate a cryptographic random number. RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider(); byte[] buff = new byte[size]; rng.GetBytes(buff); // Return a Base64 string representation of the random number. return Convert.ToBase64String(buff); } private static string CreatePasswordHash(string pwd, string salt) { string saltAndPwd = String.Concat(pwd, salt); string hashedPwd = FormsAuthentication.HashPasswordForStoringInConfigFile( […]

是“双散列”密码不仅仅是哈希一次？: 在存储之前两次哈希密码是否比一次哈希一次更安全？我在说的是这样做的： $hashed_password = hash(hash($plaintext_password)); 而不仅仅是这个： $hashed_password = hash($plaintext_password); 如果不太安全，你能提供一个很好的解释（或链接到一个）？此外，使用的散列函数是否有所作为？如果你混合使用md5和sha1（而不是重复相同的散列函数），它会有什么不同吗？注1：当我说“双重散列”时，我正在谈论两次散列密码，以使其更加模糊。我不是在谈论解决冲突的技巧。注2：我知道我需要添加一个随机盐，以确保安全。问题是用相同的algorithm两次哈希是否有助于或伤害哈希。