我知道加密密码可以存储在 web.config 中,或者散列和加盐密码可以存储在数据库中,但是是否可以将密码存储在类似 keystore 的东西中?
keystore 甚至是存储应用程序所需的“服务帐户”密码的好主意吗?
最佳答案
.NET/Windows 世界中最接近 Java keystore 的类似物是 DPAPI ( http://en.wikipedia.org/wiki/Data_Protection_API )。它在 Windows 注册表中存储加密值,加密 key 来自系统或用户帐户级别的 secret 。
尽管在 2010 年 Black Hat DC session 上发布了一篇详细介绍针对它的破解的论文 (Google Docs),但它的使用相当广泛。
在那篇论文之前(如果 MS 在某个时候修复了它)我会强烈推荐 DPAPI 来准确描述您所描述的内容。
在这一点上,使用 DPAPI 可能是(不幸的是)最好的选择。一个缓解因素是破解技术性很强,难以执行,并且需要相当多的操作系统访问才能实现。对 DPAPI key 的破坏最有可能被具有系统访问权限的可信内部人员所破坏,而不是外部攻击者。
关于用于密码存储的 asp.net keystore ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7185784/