Должны ли секреты API храниться в хешированном виде?

Question

Должны ли секреты API храниться в хешированном виде?

0

Я хочу сделать автоматическое подключение к API через простое задание cron. Обычно API-интерфейсы защищены ключом API, не так ли? API, с которым я работаю, хочет, чтобы я отправил имя пользователя и пароль, которые используются для веб-журнала.

Поэтому, если я хочу создать скрипт для этого, мне нужно будет сохранить пароль. Я никогда не хочу хранить это как обычный текст. Но поскольку я не храню пароль "reference", но пароль "user input", я не могу понять, как это сделать.

StefR 09 фев. 2015, в 22:47

Источник

0

Какая служба нуждается в учетных данных?
Jiří Brabec 09 фев. 2015, в 21:17
0

Служба, в которую мне нужно отправить свою информацию.
StefR 09 фев. 2015, в 21:23
0

Вам следует избегать использования чужих учетных данных. В отличие от учетных данных, токены могут быть отменены без изменения пароля пользователя, поэтому они намного лучше. Вы контролируете сервис?
Jiří Brabec 09 фев. 2015, в 21:35
0

Нет, я не контролирую сервис. Я думаю, что это не очень безопасно. Я свяжусь с ними и попрошу их изменить это в будущем, но сейчас мне нужно найти способ установить соединение, а не хранить пароль в виде простого текста.
StefR 09 фев. 2015, в 21:39
0

Мне кажется, в этом случае нет другого пути, кроме использования незашифрованного пароля :(
Jiří Brabec 09 фев. 2015, в 21:47
0

Я действительно не получил отрицательные голоса по моему вопросу. Не вижу причин, почему это был плохой вопрос.
StefR 10 фев. 2015, в 06:43
0

Не беспокойтесь о негативных последствиях. Я думаю, что это может быть потому, что это был короткий вопрос, но я думаю, что это интересно (и, что важно, я не подозреваю, что это дубликат), так что +1. (Как правило, добавление жалоб на голосование не имеет особой ценности, поскольку, если бы кто-то собирался оправдать свое DV, он, вероятно, уже сделал бы это. Другие читатели могут только догадываться).
halfer 12 фев. 2015, в 19:57
0

Спасибо, оленина!
StefR 13 фев. 2015, в 06:36

Показать ещё 6 комментариев

Теги:

php

security

api

2 ответа

Ещё вопросы

Какая служба нуждается в учетных данных?
Служба, в которую мне нужно отправить свою информацию.
Вам следует избегать использования чужих учетных данных. В отличие от учетных данных, токены могут быть отменены без изменения пароля пользователя, поэтому они намного лучше. Вы контролируете сервис?
Нет, я не контролирую сервис. Я думаю, что это не очень безопасно. Я свяжусь с ними и попрошу их изменить это в будущем, но сейчас мне нужно найти способ установить соединение, а не хранить пароль в виде простого текста.
Мне кажется, в этом случае нет другого пути, кроме использования незашифрованного пароля :(
Я действительно не получил отрицательные голоса по моему вопросу. Не вижу причин, почему это был плохой вопрос.
Не беспокойтесь о негативных последствиях. Я думаю, что это может быть потому, что это был короткий вопрос, но я думаю, что это интересно (и, что важно, я не подозреваю, что это дубликат), так что +1. (Как правило, добавление жалоб на голосование не имеет особой ценности, поскольку, если бы кто-то собирался оправдать свое DV, он, вероятно, уже сделал бы это. Другие читатели могут только догадываться).

halfer · Answer 1 · 2015-02-09T19-47-00.000Z

В этом контексте сохранить обычный текстовый пароль - разница между службами, которые необходимы вашему приложению (то есть базами данных и API), и паролями клиентов, заключается в том, что в последнем случае клиент может предоставить пароль, когда это необходимо. Так как человек не может этого сделать в первом случае, его нужно хранить на диске.

Это не помогает безопасности, если хешируются служебные пароли. Если хешированный пароль предоставляет системному доступу к базе данных API, то хеш является паролем, и, таким образом, хэширование усложняет ненужную дополнительную защиту. Как только злоумышленник нашел способ читать/записывать вашу систему подачи (например, через SSH или загружать несанкционированный скрипт на вашем диске), ваша безопасность все равно была скомпрометирована.

Учитывая все это, почему это хорошая идея для хеш-паролей и паролей пользователей? Причина в том, что, к сожалению, пользователи часто практикуют плохую привычку к безопасности при повторном использовании своих пар электронных/паролей через несколько сервисов. Если он обнаружен (из обычного текста, обратимого шифрования или слабого хэширования), он может поставить под угрозу их безопасность и в других местах.

Я согласен, я должен хранить пароль на диске, но он будет небезопасным. Если кто-то получит это, он сможет войти в службу we под этой учетной записью.
Как бы они его нашли, @StefR? Убедитесь, что они не могут этого сделать, и вы достаточно защищены. Многие современные API работают таким образом - они генерируют «секрет», который нельзя передавать никому, кроме команды разработчиков.
Что ж, даже при максимальных усилиях по обеспечению безопасности все возможное нарушение безопасности всегда возможно. Когда хакер получает имя пользователя и хешированный пароль, он ничего не может сделать, потому что даже с солью он не может восстановить исходный пароль. То, как я вынужден хранить пароль (немытый), в моем случае хакер сможет использовать украденные учетные данные.
@StefR: Но есть разница в двух случаях: с пользователями вы не можете тривиально изменить все их пароли, так как это эффективно блокирует всех, и есть некоторые неудобства, которые могут потерять часть вашей пользовательской базы. С помощью API вы можете легко их изменить. Если вам нужна повышенная безопасность, меняйте ключ каждый месяц и добавляйте провода безопасности для ваших серверов.
(Как я уже сказал в своем ответе, если ваш злоумышленник может прочитать произвольные файлы с вашего диска, возможно, игра в любом случае закончена: вам нужно будет обнаружить дыру, закрыть ее, затем стереть и заново развернуть. В этот момент они могли установить вредоносная программа для сбора паролей, при условии, что они также получили доступ для записи на диск).

MvdD · Answer 2 · 2015-02-09T19-40-00.000Z

Не знаете, в какой операционной системе вы работаете, но у большинства есть возможности для хранения зашифрованных данных.

В Windows есть нечто, называемое API защиты данных. Он позволяет шифровать и расшифровывать данные (имя пользователя и пароль в вашем случае) на основе машинного ключа.

Если вы запустите службу под специальной учетной записью, другим пользователям/приложению на вашем компьютере будет невозможно расшифровать ваши данные.