Все, что вы можете сделать, чтобы использовать свои учетные данные, злоумышленник также может
Что на самом деле вас купит запутывание? Время. В конце концов, данные, как и ваша схема для использования самостоятельно. Для кого -то есть только время, чтобы выяснить, какова ваша схема. Все зависит от вашего уровня паранойи, а также от оценки уровня риска, с которым вам удобно. В частности, то, как вы храните любые учетные данные, должно зависеть от того, кто имеет доступ к машине, работающей на базе данных.
В конце концов, резина должна отправиться в путь, так что иди и победить. Не совсем сбивайте запутывание. Просто сделайте, чтобы связать это с умными практиками.
Подходы и предложения
Генерировать клавиши API для приложения для каждой учетной записи, которая будет использоваться машиной
Если вы можете генерировать клавиши API со сторонних счетов, это даст вам возможность отозвать доступ к учетным записям без выключения всех потенциальных приложений. Многие услуги имеют такие типы ключей API (Google, Twitter, Stackexchange, Facebook и многие другие).
Вы просто настраиваете «приложение», затем используете ключ потребителя и секрет, а также токен доступа и секрет доступа. Машина просто должна хранить эти полномочия. Если происходит компромисс, вам просто нужно отозвать этот набор ключей. Кроме того, они позволяют вам указать разрешения на учетную запись.
Используйте пароль для пользователя для их набора учетных данных
Когда пользователь входит в систему, только тогда вы разблокируете их набор паролей. Для этого вы будете генерировать ключ на основе правильной схемы хеширования и проверки проверки, которая происходит на несколько шагов хеширования перед ключом.
Все равно шифровать его на диск
Вы всегда можете зашифровать учетные данные одним ключом. Тогда у вас есть только один ключ для защиты (который защищает все остальные секреты). Затем вам придется расшифровывать, прежде чем получить другие ваши учетные данные.
Хранить секреты в Keyring системы
На Linux используйте Гном-Кейринг. Анкет Затем вы можете сделать простые вызовы Create-update-delete, рассматривая их как базу данных паролей. Кейринг GNOME основан на стандарте PKCS#11.
А Gnome-Keyring имеет API Для сохранения на Keyring и получения предметов.
/* A callback called when the operation completes */
static void
found_password (GnomeKeyringResult res, const gchar* password, gpointer user_data)
{
/* user_data will be the same as was passed to gnome_keyring_find_password() */
// ... do something with the password ...
/* Once this function returns |password| will be freed */
}
static void
find_my_password()
{
gnome_keyring_find_password (GNOME_KEYRING_NETWORK_PASSWORD, /* The password type */
found_password, /* callback */
NULL, NULL, /* User data for callback, and destroy notify */
"user", "me",
"server", "gnome.org",
NULL);
}
В Windows 7+ используйте функцию «Зашифрованная файловая система» (EFS). Все файлы зашифрованы с помощью сертификата, в свою очередь, защищен вашим паролем Windows.
Не позволяйте этому убалансировать вас в ложное чувство безопасности, хотя. Если это сервер, на котором он работает, если кто -то получает доступ к сети к поле, он также имеет доступ к самим данным Keyring.
Установите удаленную машину, которая предоставляет доступ
Можете ли вы настроить машину, которая предоставит доступ к учетным данным или ключом разблокировки, используя публичные и частные пары ключей?
На хешинге
Если у вас есть имена пользователей и пароли, вы не верните их обратно. Хэши предназначены для односторонних функций.
Ты мог кодировать Данные для запутывания, но я не рекомендую это.