我被提出了一个论点:“你不需要一个强大的mysql用户密码,因为为了使用它,他们已经有权访问你的服务器了。” 我们正在谈论一个4位数字的密码,这是一个真实商业网站上的标准英文字典词汇。 不用我自己的知识和经验来影响答案,我想向他们展示一些无私的第三方来源的答复。 有人在乎这个呢? 编程/实际答案将不胜感激。
是的,我可以启动一个虚拟机或远程进入一些东西,并尝试密码…我知道…但有一个工具或脚本,将模拟login只是足以确认或否认密码是正确的? 场景: 服务器服务帐户的密码被“忘记”了…但我们认为我们知道它是什么。 我想通过凭据的东西,并用“正确的密码”或“不正确的密码”踢回来。 我甚至想过使用该用户帐户和密码的驱动器映射脚本,以查看它是否成功映射了驱动器,但在使其正常工作的逻辑中丢失了一些信息:如: -Script通过msgbox询问用户名-script通过msgbox询问密码-script试图将驱动器映射到每个人都可以访问的公共共享-script如果成功则取消映射驱动器-script返回popup msgbox指出“正确的密码”或者“不正确密码” 任何帮助表示赞赏…你会认为这将是一个罕见的事件,不需要一个工具来支持它,但…好吧….
我pipe理许多需要用户telnet访问的linux服务器。 目前,用户的凭证存储在每台服务器的本地,密码往往非常薄弱,不需要更改。 login很快就会与Active Directory整合在一起,这是一个更严密的保护标识。 考虑到我们有一个完全交换的networking,所以任何黑客都需要在用户的计算机和服务器之间进行物理插入,是否真的担心用户的密码会从局域网中被嗅探到?
鉴于最近发生的一起“黑客”正在从网站pipe理员那里学习和重试密码的事件,我们可以向所有人推荐关于密码的最佳做法吗? 在网站之间使用唯一的密码(即不要重复使用密码) 在字典中find的单词是应该避免的 考虑使用来自非英语语言的单词或短语 使用密码短语并使用每个单词的首字母 劳动并不是很有帮助 请build议更多!
我们去年从我们的托pipe服务提供商处收到了一封关于我们的某个帐户的电子邮件,它已经被妥协并用于提供相当丰厚的垃圾邮件帮助。 很显然,用户已经重置了她的密码来改变她的名字(姓氏是你可能第一次猜到的东西)。她在一周之内迅速被黑客入侵 – 她的账户发出了大量的27万封垃圾邮件,而且非常快受阻。 到目前为止,没有什么特别的。 那个会发生。 您可以将密码更改为更安全的密码,然后教育用户并继续前进。 然而, 更令我担心的是,我们的一个账户已经被妥协了。 我们的托pipe服务提供商为了提供帮助,实际上在以下电子邮件中引用了我们的密码 : 我感到惊讶。 我们很快就要续签合同了,这感觉就像一个破产者。 托pipe服务提供商能够find账户中使用的实际密码的常见程度如何? 大多数托pipe服务提供商是否有一个账号滥用部门,比前线代表拥有更多的访问权限(如果需要,可以查找密码),还是这些人没有按照最佳做法让他们的任何员工访问用户密码? 我以为密码应该是散列,不可检索? 这是否意味着他们以纯文本存储每个人的密码? 托pipe服务提供商是否能以这种方式发现账户密码是合法的 ? 对我来说这似乎太不可思议了。 在我们考虑不断变化的提供者之前,我希望得到一些保证,这不是通常的做法,而且我们的下一个托pipe提供者也不可能把事情设置成相同的方式。 期待听到你的意见。
可能重复: 通过SSH连接并自动input密码,而不使用公钥 我有一个bash脚本,使转储数据库,然后将文件从一台服务器复制到另一台,但它总是要求在连接之前input密码。 scp file.tar.gz [email protected]:/backup 有没有办法将密码直接传递到脚本?
我正在运行一个软件守护进程,需要某些操作来input密码来解锁一些看起来像这样的function: $ darkcoind masternode start <mypassphrase> 现在我在无头的debian服务器上遇到了一些安全问题。 每当我用Ctrl+Rsearch我的bash历史logging时,我可以看到这个超强的密码。 现在我想我的服务器已经被破坏,有些入侵者可以访问shell,只需Ctrl+R就可以在历史logging中find我的密码。 有没有办法input密码,而不会显示在bash历史, ps , /proc或其他任何地方? 更新1 :没有密码守护进程将引发错误。 这是不行的。 更新2 :不要告诉我删除软件或其他有用的提示,如挂起开发人员。 我知道这不是一个最佳实践的例子,但这个软件是基于比特币的 ,所有基于比特币的客户端都是某种types的json rpc服务器,这些服务器监听这些命令,并且还讨论了一个已知的安全问题( a , b , c ) 。 更新3 :守护进程已经启动并且使用该命令运行 $ darkcoind -daemon 做ps只显示启动命令。 $ ps aux | grep darkcoin user 12337 0.0 0.0 10916 1084 pts/4 S+ 09:19 0:00 grep darkcoin user 21626 0.6 […]
我试图在Ubuntu服务器上用ssh设置无密码login,但是我不断收到: Agent admitted failure to sign using the key 并提示input密码。 我已经生成了新的rsa键。 在系统重启之前它工作得很好。 所有的链接导致我这个错误 ,但没有任何工作。 SSH代理仍然没有运行。 如何解决这个问题? 也许这些文件需要特定的权限?
我在哪里去禁用域的密码复杂性政策? 我已经login到域控制器(Windows Server 2008),发现本地策略中的选项当然是locking的任何更改。 但是,我无法在组策略pipe理器中find相同的策略。 我必须展开哪些节点才能find它?
我正在使用Apache2和Passenger进行Rails项目。 我想为testing目的创build一个自签名的SSL证书 。 sudo openssl rsa -des3 -in server.key -out server.key.new 当我input上面的命令,它说 writing RSA key Enter PEM pass phrase: 如果我没有inputpass phrse,我会得到下面的错误 unable to write key 3079317228:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:869:Yo u must type in 4 to 1024 characters 3079317228:error:0906406D:PEM routines:PEM_def_callback:problems getting passwor d:pem_lib.c:111: 3079317228:error:0906906F:PEM routines:PEM_ASN1_write_bio:read key:pem_lib.c:382 是否有可能生成一个RSA密钥没有给pass phrase ,因为我不知道如何/etc/init.d/httpd脚本将启动HTTP服务器没有人为干预(即如果我给一个4字符的密码短语,它期望我在启动Apache HTTP服务器时提供这个)。