Questions tagged «password»

我们公司的安全小组中有一个讨论，涉及以下管理SSL私钥的选项的不良后果。 Web服务器需要访问私钥以进行加密操作。此文件应受到保护，以防止未经授权的访问。同时，服务器应自动启动，而无需人工干预（如果足够安全的话）。 我们正在讨论三种选择： 使用文件系统权限保护密钥。 使用受密码保护的密钥，并在每次重新启动时手动输入密钥。 使用受密码保护的密钥，并将密钥存储在文件系统中以自动重启。 我们关注的问题如下： 使用选项1，重新启动是自动进行的，但是折衷方案可以复制私钥，并且不受保护，可以用来解密通信或模拟我们的服务器。 选项2似乎更安全，但是它需要人工干预，如果非工作时间发生，则系统管理员会感到担忧。另外，密码应与多个系统管理员共享，并且您知道共享的机密不再是机密。 选项3具有上述两个选项中的最佳功能，但是如果某人可以访问密钥，也可以访问密码:(，因此似乎一点也不安全。 您如何管理服务器私钥的安全性？还有其他（更安全的）选项吗？

18 security  password  private-key 

有没有人有任何资源为我的用户确定合理的密码策略？我个人的想法是提高密码的复杂性，并允许他们较少地更改密码，这是一种折衷。与5或10年前相比，我的普通用户似乎对某些数字和特殊字符的混合具有更高的容忍度。 我正在寻找经验法则和/或资源，以用于支持我提出的策略更改。甚至还有经验丰富的人的轶事信息。 （我距离安全专家还很远，因此，如果只是要模糊处理，让我们缩小问题范围，仅适用于内部Windows网络密码，尽管我会对人们在VPN和Web方面的工作感兴趣服务政策）

18 security  password 

关闭。这个问题是题外话。它当前不接受答案。 5年前关闭。 已锁定。该问题及其答案被锁定，因为该问题是题外话，但具有历史意义。它目前不接受新的答案或互动。 我使用OS X，Linux，Solaris和Windows进行工作和在家中工作。有很多好的工具可以让我独立管理平台所需的许多登录名/密码。但大多数情况下，他们希望我随身携带一个拇指驱动器，或要求直接访问某个中心位置（云中的天空驱动器）。 拇指驱动器很容易丢失（=需要同步备份），中心位置并非始终可访问/可安装。此外，公司政策经常可以防止这种情况。 有没有一种工具可以让我在本地添加密码，然后在以后将其数据库与“母舰”同步。还是您使用其他方法可以解决我的问题？ 编辑 我的问题更多是关于“同步”而不是跨平台。我已经评估（=阅读功能列表）一些很好的跨平台工具，但是需要一个能为我进行同步的工具。通过同步，我的意思是“合并两个版本”，而不是“（希望）将旧文件替换为新文件”。我不确定我是否总是遵守纪律/清醒以防止数据丢失。 UPDATE 2010 Lifehacker刚刚发布了AgileSolutions现在具有Windows 1Password的beta版本。 UPDATE 2014我已经在Windows / Os X / IOS上使用1Password几年了。它对我有用，但不是免费/开放的。 您可以在http://Altenativeto.ne/1password上查找具有类似功能列表的其他工具。

18 password  synchronization 

所以首先，我知道，我应该对SSH使用密钥身份验证。无需向我解释。 这里的问题是我有一堆（大）服务器，并且我需要有一个脚本来连接每个服务器。 我会尽可能使用密钥认证，但是不可能在每台服务器上都使用（我对此没有控制权）。因此，使用SSH进行登录，或者有时进行telnet。 因此，对于某些人，我只是将密码存储在数据库中，而我的脚本会在需要时使用它。问题是，这样做似乎并不安全。有没有办法使它更安全些？ 喜欢一些特定的存储方式吗？

16 ssh  password  password-management 

我对最佳做法和潜在的开源项目感兴趣，这些最佳做法和潜在的开源项目将使我的组织安全地存储多个密码，并允许多个管理员访问它们。我对允许每个管理员拥有自己的登录名/密钥而不是典型的受密码保护的Excel电子表格的东西感兴趣。;） 最好是可以通过SSL运行的基于Web的应用程序。 我需要它在Mac / Linux环境中运行-请不要使用Windows应用程序。 谢谢！

16 linux  password 

我的客户端有一台服务器正在遭受来自僵尸网络的暴力登录尝试。由于服务器和客户端的客户端多变，我们无法通过防火墙，端口更改或登录帐户名称更改轻松阻止尝试。 已经决定让它容易受到攻击，但是找到了一种确保密码安全的方法。管理层和其他一些顾问确定，最好的办法是安装密码轮换软件，以每十分钟轮换一次密码，并将新密码提供给需要登录的用户。 暴力尝试每秒发生两次。 我需要证明使用12至15个字符来实现强密码是一种更容易且免费的解决方案。我知道如何用数学来证明这一点，但我只是在写类似“我们的密码可能有x种可能的排列，攻击者每天只能尝试n次尝试，因此我们希望它们进行x /次。他们猜测我们的密码平均需要2n天。” 有更标准的“证明”吗？

16 security  password  hacking  brute-force-attacks 

根据密码的使用方式，您如何处理无法期望管理员记住的密码的存储？如： 所有人使用自己的具有管理员权限的帐户登录时的管理员/ root密码 仅在配置期间设置的服务帐户密码，例如SqlServerAgent，SharePointSearchService等。 整个公司的网络注册，例如Google网站管理员工具，GoDaddy / VeriSign，MSDN等。 我当然不想在多个不同领域重复使用一个密码。我们考虑过的选项： 网络共享上的加密文件 共享的KeePass数据库 受密码保护的维基 单一基本密码，每个区域都进行了少量修改 当我尝试在家中安装密码保护的PFX文件时，会使用一次使用的密码存储在我锁定的办公桌上的笔记本中，这是我想到的。

16 security  password 

是否有任何实用程序可让我将剪贴板中的密码粘贴到Windows Server 2008 R2 RDP登录屏幕，就像我直接从键盘上键入字符一样？我经常登录不同的服务器，并使用ClipMate来管理和提取历史剪辑。

15 windows-server-2008  password  rdp  login  clipboard 

当输入了错误的密码时，为什么Windows 7会花很长时间显示错误的登录消息，而如果密码正确，它几乎可以立即让您登录？ 只是我看到这种行为吗？

15 windows-7  password 

我有一台启用了“远程登录”的Mac OS X计算机（运行10.5的Mac mini）。我想打开Internet的sshd端口以能够远程登录。 出于安全原因，我想禁用使用密码的远程登录，仅允许具有有效公共密钥的用户登录。 在Mac OS X中进行设置的最佳方法是什么？

15 security  ssh  mac-osx  password  keys 

我有一个特定的用例，我真的很希望能够用一个没有交互性的命令来更改用户的密码。这是以安全的方式进行的（通过SSH，并且在只有一个用户可以登录的系统上），因此可以在命令行中公开新密码（如有必要，甚至可以使用旧密码）。FWIW，这是一个Ubuntu系统。 我只想避免仅为此一项任务就向该系统添加类似于Expect的内容。

15 ubuntu  command-line-interface  freebsd  password 

我发现，在几种情况下，强制用户定期更改其密码对维护的压力更大，而不是对安全的帮助。另外，我看到用户写下了他们的新密码，因为他们要么没有足够的时间来记住自己的密码，而且也不必为重新学习另一个密码而烦恼。 强制更改密码有什么安全好处？

14 security  password 

我有一个“继承”的MySQL数据库，但未获得管理员凭据。但是，我确实可以访问其运行的框。有没有办法恢复管理员凭证或创建新凭证？

14 mysql  password  reset 

我想使用域帐户上的cmd.exe更改用户密码。 我试过了 net user user_name * /domain 但这不起作用，因为我的用户在另一个域上。如何指定域用户所属的域？

13 windows  windows-server-2008  command-line-interface  password 

我有一些使用Active Directory进行身份验证的Web应用程序。我想做的是提供一个简单的网页，允许用户更新其AD密码。 当大多数用户的Windows计算机连接到此AD服务器时（这可以通过ctrl-alt-del更改密码），这不是问题，但是我们已经远离了，而AD服务器主要用于Web。应用。 为此有一个简单的解决方案，还是我正在寻找大型LDAP管理器？

13 active-directory  authentication  password