V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
andybest
V2EX  ›  问与答

同事弄了这么一套东西来存密码,安全吗?应该怎么教育他?

  •  
  •   andybest · 2013-09-01 07:43:13 +08:00 · 2587 次点击
    这是一个创建于 4120 天前的主题,其中的信息可能已经有所发展或是发生改变。
    他自己的密码,写了个小程序来记录,放在公网服务器上,明文储存,然后他可以登录上去用关键字搜索网站名来查询相应的密码,就是他个人记录用

    这台公网服务器仅开放对固定客户端访问权限(所有端口),他自己编造了一个域名,通过在客户端绑host来访问该服务器的https,https是他做的一个自签证书

    也就是必须是固定IP的客户端,并且该客户端绑定了的host后,用“只有他知道”的特殊域名访问https,然后输入一个密码后,才能访问到他这套东西。服务器上除了这套东西外没其他任何应用。

    我总感觉不太安全,
    我跟他说:“怎么能明文储存密码?”
    他说:“我自己的密码方便我记,要显示出明文给我,再说服务器别的IP也访问不了”
    我说:“你用自签证书,中间人攻击偷你密码妥妥的”
    他说:“我用的这个域名是我乱编的,就我自己用,没人知道”
    我说:“你笔记本丢了怎么办?”
    他说:“笔记本丢了他没法用固定IP上,即使通过浏览器记录进去,他也不知道进入程序的登录密码”

    我又想了半天但是在说不出漏洞在哪,各位帮忙想想他这样做隐患在哪?
    9 条回复    1970-01-01 08:00:00 +08:00
    fangzhzh
        1
    fangzhzh  
       2013-09-01 07:56:28 +08:00
    隐患在有人在背后偷看
    andybest
        2
    andybest  
    OP
       2013-09-01 07:58:31 +08:00
    @fangzhzh keepass ,1Password这类密码管理软件也有存在有人在背后看的隐患的吧?
    只是他这套东西不像keepass这样用对称密匙储存非明文密码
    jybox
        3
    jybox  
       2013-09-01 08:03:48 +08:00   ❤️ 1
    感觉确实没什么漏洞,自签的证书不会导致中间人攻击,如果把远端的服务器看成一个黑盒,确实没什么隐患。
    更进阶一点的方案是在服务器和客户端之间使用双向的证书验证吧。
    andybest
        4
    andybest  
    OP
       2013-09-01 08:07:57 +08:00
    @jybox 谢谢,是说在服务器不会被黑的前提下他这个方案很安全? 好吧。。。我错了,又丢人了 - -
    sophy
        5
    sophy  
       2013-09-01 09:26:28 +08:00 via Android   ❤️ 1
    很安全啊,都要绑hosts了,只要没人看到应该没事
    jamesxu
        6
    jamesxu  
       2013-09-01 09:49:10 +08:00
    搞这么麻烦,还不如用truecrypt密码和keyfile加密,再存到Dropbox。
    saharabear
        7
    saharabear  
       2013-09-01 13:35:25 +08:00
    还是加密更好吧。
    iislong
        8
    iislong  
       2013-09-01 15:36:30 +08:00
    常用且重要的密码使用keepass同步到dropbox(手机端使用dropbox共享出来的链接,当然这个很长的链接[缺特定字母]放在网站某处),一般的密码存到lastpass。
    dropbox和lastpass均开启两步验证。
    zhttty
        9
    zhttty  
       2013-09-01 15:43:39 +08:00
    能接触到服务器实体的人,直接0:号登录就可以看到了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   872 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:34 · PVG 05:34 · LAX 13:34 · JFK 16:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.