Security 如何建立基于web的密码数据库
我目前正在考虑一个web驱动的密码数据库,它有多个帐户,登录/密码存储在数据库引擎(如MySQL或Oracle)中。每个密码应仅对某些用户可用: 用户A登录,创建一个新的登录信息,并勾选一些复选框,以使此信息可供用户B和用户C使用。用户D和E不应看到它 我的第一个想法: 密码被加密存储在数据库中 这里的主要问题当然是,如果您有权访问服务器,您可以查看脚本并检测解密算法,它使您能够一次对所有存储的密码进行解密 因此,我认为,每个用户都会获得密码工具的主密码,这是加密/解密算法的一部分(用户输入此主密码并使用自己的凭据登录)。这样做的好处是,第三方不能像知道主密码那样简单地查看脚本以查看它们是如何被解密的。当然,对于访问权限非常有限的用户来说,仍然可以解密所有密码,因为他们知道主密码 所以基本上我的问题是:如果有人访问服务器,怎么可能有一个基于网络的多用户密码数据库,而不只是通过查看简单的源代码就能轻易破解?是否有可能使解密以某种方式依赖于可能正式看到密码的用户登录 谢谢你的提示 请注意让事情更清楚:Security 如何建立基于web的密码数据库,security,web-applications,passwords,password-protection,Security,Web Applications,Passwords,Password Protection,我目前正在考虑一个web驱动的密码数据库,它有多个帐户,登录/密码存储在数据库引擎(如MySQL或Oracle)中。每个密码应仅对某些用户可用: 用户A登录,创建一个新的登录信息,并勾选一些复选框,以使此信息可供用户B和用户C使用。用户D和E不应看到它 我的第一个想法: 密码被加密存储在数据库中 这里的主要问题当然是,如果您有权访问服务器,您可以查看脚本并检测解密算法,它使您能够一次对所有存储的密码进行解密 因此,我认为,每个用户都会获得密码工具的主密码,这是加密/解密算法的一部分(用户输入此主
它旨在成为一个密码数据库,其中存储了不同应用程序的登录凭据,用户可以登录并查看他们必须为这些应用程序使用哪些凭据。如密码管理器工具,如1Password等。它只是一个带有用户名/密码的简单查找表,不应插入第三方应用程序或与之交互。使用单向散列算法,如or(或其一些更强的变体)。这样,就没有办法对存储的密码进行反向工程。您看过类似的产品吗?所有密码都在数据库中加密,可以在多人之间共享,所有页面都经过模糊处理以进一步保护,并与Active Directory集成以进行身份验证 如果您想签出10个用户的免费许可证。解决方案如下:
我在上面添加了一个通知-它是一个密码管理工具,因此登录凭据必须在登录后对用户可读/可见。可能重复我添加了一个更好的问题,可能这一问题可能会被关闭,因为它具有误导性。。。很抱歉