آیا حفاظت از رمز عبور یک پایگاه داده که در کنار برنامه زندگی می کند، هر امنیتی را اضافه می کند؟

من دیده ام تنظیماتی که پایگاه داده محافظت شده با رمز عبور در همان سرور به عنوان یک برنامه نگهداری اعتبار به گفتگو با پایگاه داده در متن ساده دیده می شود.

مزایای چنین تنظیماتی بر روی یک پایگاه داده صرفا محافظت نشده چیست؟ 19659002] به استثنای برخی از سوء تفاهمات، نیاز به پیکربندی هر دو، پایگاه داده و برنامه، به نظر می رسد فقط به این اعتبارات پیچیده تر، اما نه امنیت واقعی. یک مهاجم با دسترسی به سرور همیشه می تواند فقط اطلاعات مربوط به پرونده config را پیدا کند.

ویرایش:
من در مورد یک پایگاه داده صحبت می کنم که تنها در یک دستگاه قابل مشاهده است و در خارج از آن قرار ندارد.

تأیید هویت – مدیریت رمزهای عبور حیاتی و اطلاعات در یک کسب و کار کوچک با تمرکز بر تداوم کسب و کار

من با یک راه اندازی کوچک در ابتدای دوره زندگی آن کار می کنم. من اخیرا برخی نگرانی های امنیتی را درباره تداوم تجارت و آمادگی اورژانسی مطرح کردم.

من تلاش کرده ام تا به اهمیت داشتن برنامه ای برای پاسخگویی در حوادث، مانند توانایی ثبت علائم بحرانی و کلمه عبور یا سایر مدارک دسترسی در صورت وقوع حادثه یا فاجعه امنیتی (از جمله اسناد و مدارک یا پروتکل هایی حاوی اطلاعات حساس برای پوشش دادن چیزهایی مانند نیاز به مجدد محیط زیست ما) و یا دسترسی به خدمات و حساب های حیاتی خاص را بدون در نظر گرفتن دسترسی افراد خاص که این حساب ها را دارند، به عنوان یک تیم چند ملیتی. در حال حاضر، ما در مورد این منطقه سازمان زیادی نداریم. حساب هایی با صاحبان وجود دارد که دیگر در تیم شرکت نمی کنند و بسیاری از موارد "اگر شکست بخورد، ما باید امیدوار باشیم که این یک مرد در کشور را وارد کنید در اینجا در وسط شب در دسترس خواهد بود" [19659002] من از طریق برخی از گزینه ها را نگاه کردم، و به نظر می رسد که مدیران رمز عبور حداقل برای برخی از این موارد لایحه را در نظر بگیرند. چند نفر KeePassX را در سؤالات مربوطه توصیه می کنند، اما نمی توانم بگویم که آیا برای اعضای تیم چندان مفید خواهد بود و من باید آن را بررسی کنم تا ببینم آیا این چیزی است که به راحتی قابل حمل است یا خیر. به نظر نمی رسد مستندات زیادی وجود داشته باشد و بخشی از وب سایت آنها پایین آمده است که باعث می شود من تعجب کنم که چطور مشروع است. من شخصا از 1Password استفاده می کنم و به نظر می رسد که یک برنامه تمرکز تیمی دارند که حاوی یک داشبورد مدیر برای مدیریت مجوز ها و دسترسی است اما گزینه های حسابرسی مانند تغییر / دسترسی به سیاهه ها بدون ارتقا به طرح کسب و کار دو برابر هزینه است. هزینه عامل مهمی در هر راه حل است زیرا هر گونه افزایش بودجه (حتی کوچک) در این مرحله دشوار است، اما اگر یک راه حل پرهزینه است که بهترین راه حل است، من می توانم آن را امتحان کنم و امیدوارم بهترین باشد.

آیا کسی گزینه های بهتر را می داند؟
آیا من در مسیر درست فکر می کنم یا بیش از حد در مدیران رمز عبور تمرکز می کنم که راه حل دیگری ممکن است مناسب تر باشد؟
آیا می توانم مسائل امنیت بیشتری را با تلاش برای قرار دادن تمام این اطلاعات حساس در یک نقطه ایجاد کنم؟
آیا بهتر است یک راه حل فیزیکی (مثلا خرید یک ایمنی) را در نظر بگیریم، حتی اگر هیچ یک از ما در یک مکان قرار نگرفته باشیم؟

My هدف این است که بدانیم که گزینه های من چیست، کدام گزینه / خدمات / محصول به تناسب نیازهای ما مطابقت دارد، برای تحقیق در مورد چگونگی استفاده از بهترین گزینه ها و این تصمیم نهایی به سرپرستانی من.

رمزنگاری – سرویس استراحت امنیت رمز عبور

من یک سرویس استراحت A را ارائه می دهم که برای سرویس B بقیه ارتباط برقرار می کند (هر دو این سرویس در داخل شبکه شرکت قرار می گیرند). اما خدمات بقیه B، شناسه سرویس و رمز واقعی واقعی را برای من به منظور استفاده از سرویس B خود ارائه کرده است.

نگرانی من این است که چگونه رمز عبور سرویس B را به طور ایمن در Service A خود ذخیره کنم. من نمی خواهم فقط آن را ذخیره کنم متن ساده در فایل خواص یا پایگاه داده.

من دوست دارم یک روش رمزنگاری برای تأمین رمز عبور را اجرا کنم، اما تنها نگرانی من این است که هر تکنیک که برای تأیید گذرواژه استفاده می شود، در نهایت من باید به عنوان فیلد ساده فقط برای تماس ارسال کنم سرویس ب.

این فقط برای مخفی کردن متن ساده رمز عبور از بقیه تیم و شرکت است. باید بین مصرف کننده و تولیدکننده ایمن باشد (ممکن است افراد را نگه دارد).

رمزهای عبور – شناسایی ترفندهای ویندوز در فرمت های ویندوز LSA Hash

من برخی از هش ها را با استفاده از ترکمبه اکسک گرفته ام و از فرآیند LSA منقرض شده است. هش ها در این فرم هستند (داده های زیر جعلی هستند):

 adm_name: c6f132a235209036744ba5d303bd5d9b: SOME.ORGANISATION.COM: ORGANIZATION :::

سرویس های شناسایی هش در Kali هش را به عنوان شناسایی نمی کند، اما اگر هش اصلاح شود، برخی از خروجی ها را ارائه می دهد.
برای ابزار شناسه هش ورودی:

 c6f132a235209036744ba5d303bd5d9b

نتایج:

 هش های احتمالی:
[+] MD5
[+] مجوزهای محرمانه دامنه - MD4 (MD4 (($ pass)). (strtolower ($ username)))

برای ابزار هاشید ورودی:

 adm_name: c6f132a235209036744ba5d303bd5d9b

خروجی ها:

 [+] مجوزهای ذخیره شده در دامنه
[+] مدارک مجوز دامنه Cached 2

جان هش ها را فقط در گزارش ها می پذیرد:

 هشدار: نوع هش "LM" را شناسایی کرد، اما رشته نیز به عنوان "NT" شناخته می شود.
از گزینه "--format = NT" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "HAVAL-128-4" شناخته می شود
از گزینه "--format = HAVAL-128-4" برای جابجایی آن به عنوان آن نوع استفاده کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "lotus5" شناخته می شود
از گزینه "--format = lotus5" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "MD2" شناخته می شود.
از گزینه "--format = MD2" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: نوع هش "LM" شناسایی شده است، اما رشته نیز به عنوان "mdc2" شناخته می شود
از گزینه "--format = mdc2" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "mscash" شناخته می شود
از گزینه "--format = mscash" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "mscash2" شناخته می شود
از گزینه "--format = mscash2" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "Raw-MD4" شناخته می شود
از گزینه "--format = Raw-MD4" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "Raw-MD5" شناخته می شود
از گزینه "--format = Raw-MD5" استفاده کنید تا به جای آن آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "Raw-MD5u" شناخته می شود
از گزینه "--format = Raw-MD5u" استفاده کنید تا جای آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "ripemd-128" شناخته می شود.
از گزینه "--format = ripemd-128" استفاده کنید تا به جای آن آن را بارگذاری کنید
هشدار: نوع هش "LM" شناسایی شده است، اما رشته نیز به عنوان "Snefru-128" شناخته می شود.
از گزینه "--format = Snefru-128" استفاده کنید تا به جای آن آن را بارگذاری کنید
هشدار: هش نوع "LM" شناسایی شده است، اما رشته نیز به عنوان "NT-old" شناخته می شود.
از گزینه "--format = NT-old" استفاده کنید تا جای آن را بارگذاری کنید

hashcat تلاش می کند (با استفاده از پرچم -m 1000 برای نوع های هش NTLM) اگر فرمت فقط هگز (همانند مثال ورودی شناسه هشت بالا باشد، تلاش خواهد کرد. )

من آن را نمی توانم در حمله "عبور هش" استفاده کنم.
به غیر از نشان دادن نام کاربری ها، این هاشش ها در این فرم به مهاجم چیست؟ هر هدفی عالی خواهد بود!

دستشویی – آیا استانداردهای TLS نیازمند اولویت سرور هستند تا همیشه در هنگام مذاکره با استفاده از رمزهای عبور استفاده شوند؟

کسی دیگر به من گفت روزهاست که استانداردهای TLS از طرف سرور مجبور هستند که همیشه تصمیم بگیرند کدام یک از کد های متداول را در هنگام مذاکره با یک سرویس از راه دور استفاده کنند.

این امر منطقی است، اما من را به تعجب می اندازد که چقدر این مورد بوده است و چرا گزینه هایی مانند: + SSL_OP_CIPHER_SERVER_PREFERENCE در openssl برای گزینه CTX وجود دارد: https://www.openssl.org/ docs / man1.0.2 / ssl / SSL_CTX_set_options.html

SSL_OP_CIPHER_SERVER_PREFERENCE

هنگام انتخاب یک رمزعبور، به جای ترجیحات مشتری، از تنظیمات سرور استفاده کنید. هنگامی که تنظیم نشده است، سرور SSL همیشه
  از ترجیحات مشتریان پیروی کنید. هنگام تنظیم، سرور SSLv3 / TLSv1 خواهد شد
  زیر تنظیمات خود را انتخاب کنید. از آنجا که متفاوت است
  پروتکل، برای SSLv2 سرور لیستی از ترجیحات خود را به آن ارسال می کند
  مشتری و مشتری انتخاب می کند

این معنی ندارد …