问题标签 [passwords]

bCrypt 的 javadoc有如何加密密码的代码：

要检查明文密码是否与之前已散列的密码匹配，请使用 checkpw 方法：

这些代码片段暗示我随机生成的盐被扔掉了。是这种情况，还是这只是一个误导性的代码片段？

我需要从 Windows 脚本中的用户那里获取身份验证凭据，但是经典的“第一个 Google 结果”方法：

不太令人满意，所以我想知道是否可以说HTML 的输入 type="password" 的“等价物”？

任何评论将不胜感激，在此先感谢！

使用没有数据库或用户名但使用 php 来密码保护文件夹的最佳方法是什么？基本上我有一个页面，将列出组织的联系人，并且需要密码保护该文件夹，而无需为每个用户提供帐户。只有一个密码会经常更改并分发给群组。我知道这不是很安全，但我更想知道如何做到这一点。以最好的方式。

如果用户正确输入密码后能暂时记住密码，那就太好了。

我大致按照大卫赫吉的建议做，除了没有饼干。它看起来确实不安全，但最好有一个糟糕的密码保护然后根本没有。

这是针对内部站点的，人们会花时间记住他们的登录名和密码，并且永远不会经历注册 过程……除非真的很容易，否则他们根本不会使用该系统。

我想看看这个问题的其他解决方案。

由于用户群由不太懂技术的人组成，还有其他方法可以做到这一点。

我继承了一个 Web 应用程序，我刚刚发现它在 SQL Server 数据库中以纯文本形式存储了超过 300,000 个用户名/密码。我意识到这是一件非常糟糕的事情™。

知道我必须更新登录和密码更新过程以加密/解密，并且对系统其余部分的影响最小，您会推荐什么作为从数据库中删除纯文本密码的最佳方法？

任何帮助表示赞赏。

编辑：对不起，如果我不清楚，我的意思是问你加密/散列密码的程序是什么，而不是特定的加密/散列方法。

我应该：

1. 备份数据库
2. 更新登录/更新密码代码
3. 几个小时后，检查用户表中的所有记录，对密码进行哈希处理并替换每一个
4. 测试以确保用户仍然可以登录/更新密码

我想我的担忧更多来自于用户的数量，所以我想确保我做的正确。

当连接到当前用户（在我的情况下是启用网络的服务用户）没有权限的网络共享时，必须提供名称和密码。

我知道如何使用 Win32 函数（WNet*来自 的系列mpr.dll）来做到这一点，但想使用 .Net (2.0) 功能来做到这一点。

有哪些可用选项？

也许更多信息会有所帮助：

• 用例是 Windows 服务，而不是 Asp.Net 应用程序。
• 该服务在对共享没有权限的帐户下运行。
• 共享所需的用户帐户在客户端未知。
• 客户端和服务器不是同一个域的成员。

有没有办法在 NAnt 构建期间提示用户输入？我想执行一个需要密码的命令，但我不想将密码放入构建脚本中。

我花了几个小时试图找到一种在 php 中编写跨平台密码提示的方法，以隐藏用户输入的密码。虽然这可以通过使用 stty -echo 在 Unix 环境中轻松完成，但我尝试了各种 passthru() 和 system() 调用方法来使 Windows 执行相同的操作，但无济于事。

我试过了：

这似乎挂在 passthru('set /p pass=Password: '); 不允许我输入任何文本的行，必须用 Ctrl-c 杀死。

我还尝试了各种 fgetc 和 fgets 方法以及打印退格字符来隐藏输入，因为这适用于其他语言。但是，PHP 似乎无法在回车之前与文本交互。

我真的很想找到一种方法来完成这项工作，这是一项不可能完成的任务还是可以完成的事情？

请注意，我知道我可以将 php 脚本包装在批处理文件中并将密码作为命令行参数传递，但在这种情况下这对我不起作用。

对于那些不知道的人，Lotus Notes 是一个很酷的系统，它具有非常强大的数据库复制能力，以及非常强大的证书管理和签名。

然而，强大的证书使用本身就是 Notes 的缺点之一。

当您通过 Notes 客户端登录到 Lotus Notes 时，您使用的密码不会存储在任何地方，除了作为存储在本地工作站上的 Notes ID 文件中的私钥的加密/解密密钥。

这意味着您可以拥有此文件的 15 个副本，具有 15 个不同的密码，只要您有匹配的密码，每个副本都是有效的。

对于身份管理系统，这是相当严重的，因为没有服务器端组件可以访问密码更改事件，而是完全基于客户端，服务器几乎无法告诉它发生了！

我听到的谣言是，在后来的 Lotus Notes/Domino 版本中，这种基于 ID 文件的身份验证开始发生变化。

我很难找到关于正在改变的内容、方式和版本的明确解释。（8.5？9？以后？）

这个问题的第二部分是，在 Active Directory 集成方面发生了什么？我听说有传言说可能允许AD认证而不是ID文件认证。我在这方面的猜测是，存储在服务器上的 ID 文件仍将用于授权，但成功的 Active Directory 身份验证将用于解锁对它的访问？还是其他型号？

寻找已经弄清楚这一点的人的观点！

附带说明一下，当访问 Notes 的 Webmail 时，会使用第二个密码 (httpPassword)，因为当用户进行身份验证时，服务器当然无法访问本地 ID 文件。有人假设这是他们将用于其他形式的身份验证的模型，但众所周知，假设是一个糟糕的计划！

我在 HTML 中创建了一个登录提交表单，但由于某种原因，自动完成功能在 Firefox 中不起作用。

这就是在 Firefox 中发生的事情： - 我提供用户名和密码，然后单击登录按钮 - Firefox 会提示我是否要记住密码。我按“记住”并登录工作。- 我退出并返回登录页面。我希望预先填写用户名和密码字段，但事实并非如此。请注意，我不（想）使用 cookie。

这是此页面的代码：

我的代码有什么问题？如何使用我的代码自动完成以在 FF 中工作？

自动补全确实适用于例如 gmail。每次我访问 gmail 的登录页面时，电子邮件和密码字段都已正确预填。我不使用“在这台计算机上记住我”复选框，因此不使用 cookie。

更新我正在使用 php 和 FF3

谢谢，贾斯珀

在我目前正在为客户开发的小型应用程序中，我需要询问用户他的 Windows 登录用户名、密码和域，然后使用System.Diagnostics.Process.Start来启动应用程序。

我有一个带有 UseSystemPasswordChar 的文本框来屏蔽输入的密码。

我需要一个System.Security.SecureString将密码提供给System.Diagnostics.Process.Start。

如何将输入的文本转换为安全字符串，而不是一个接一个地执行？或者：是否有更好的窗口控件来要求用户输入将输入的文本作为 SecureString 返回的密码？