linux - Perl 加密 STDIN 密码

Question

我正在制作一个 Perl 模块，它为第 3 方 API 提供 OO 接口(interface)。我想在将用户密码传输到第 3 方 API 之前以加密格式捕获和存储用户密码。该模块旨在仅在基于 UNIX 的系统上运行。

我生成了以下执行捕获功能的脚本 - 从它仅以加密格式存储密码变量的意义上说，这是正确的吗？我担心密码可能在其他地方的内存中可用(例如，在 $_ 下，尽管 $_ 是 undef)。

注意。我使用 STDIN 而不是 @ARGV，假设操作系统不会记录条目或在进程名称中包含密码。我正在使用替代正则表达式而不是 chomp，这样输入就不必存储在临时的非加密变量中。我还假设在输入捕获软件仍然可以捕获用户输入的意义上不可能完全安全。

提前致谢

use strict;
use warnings;
use Crypt::CBC;
use 5.14.0;

print 'Please enter your password: ';
system('tty -echo');
my $key = Crypt::CBC->random_bytes(56);
my $iv  = Crypt::CBC->random_bytes(8);
my $cipher = Crypt::CBC->new(-key    => $key,
                             -cipher => 'Blowfish',
                             -salt   => 1,
                             );
my $ciphertext = $cipher->encrypt(<STDIN> =~ s/\n$//r);
system('tty echo');

Answer 1

$ strace perl -E '<STDIN>'
.... scroll, scroll, scroll ....
read(0, 
... type, type, type ....
"secret\n", 4096)               = 7
exit_group(0)                           = ?

我认为您无法阻止具有足够访问权限的人窥视您的系统调用或内存。