Python Protection Par Mot De Passe

Je suis un débutant donc si cette question semble stupide, s'il vous plaît garder avec moi.

Je me demande que, lorsque nous écrire du code pour le nom d'utilisateur/mot de passe de case en python, si elle n'est pas compilé en exe ie script state, ne sont pas les gens seront facilement ouvrir le fichier et de supprimer le code de la potion qui fait le mot de passe de vérifier?

Je suis en supposant que l'ensemble du programme est entièrement écrit en python, pas de C ou C++.

Même si j'utilise un programme comme py2exe il peut facilement être décompilé retour à code source. Donc, est-ce à dire qu'il est inutile d'en faire un mot de passe vérifier?

Comment les programmeurs professionnels faire face à cela?

Pouvez-vous donner un exemple de quand vous pouvez faire un mot de passe de protection purement à l'intérieur d'un programme en Python? Habituellement, lorsque vous entrez un mot de passe pour accéder à certaines ressources externes.
Avec protection par mot de passe entendons-nous, d'authentification et d'autorisation, ce qui signifie que le programme peut être exécuté par un "Utilisateur" ou d'application de la licence du logiciel où vous souhaitez que l'utilisateur à acheter la licence et le programme vérifie que. Je pense que la licence de l'application, c'est comme l'a souligné dur en python spécifique en comparaison permet de dire que Java.
Je suis un débutant donc je ne suis pas très sûr. Actuellement ce que j'ai est un programme qui prennent la saisie de l'utilisateur et stocké les données dans la base de données sqlite. Et j'ai un mot de passe simple de vérifier à l'aide de hachage lib

InformationsquelleAutor Chris Aung | 2013-09-02

5

Edit: Votre révisé à la question précise que vous êtes préoccupé par les gens modifiant le code de contourner un mot de passe vérifier. Oui, c'est tout à fait possible. Vous pouvez fournir votre code .pyc forme, mais qui ne sont pas nécessairement empêcher quelqu'un de la décompilation et à l'altérer. Malheureusement, Python est tout simplement pas conçu pour empêcher le code de l'altération. Le meilleur que vous pouvez faire est d'effectuer un certain type d'authentification de la transaction avec un serveur sécurisé, de sorte que peu importe la façon dont quelqu'un modifie le code, ils ne peuvent pas contourner cette étape. En fonction de votre application, qui peut être exagéré.

Le problème de la gestion de l'authentification par mot de passe est un épineux problème de sécurité qui permettent aux gens de dépenser de l'ensemble des carrières. Cependant, voici quelques informations à ce sujet, cela suppose que vous êtes en train de rouler votre propre mot de passe d'authentification à partir de zéro:

Même, de vêtements de protection par mot de passe, en règle générale, l'utilisateur mots de passe ne sont pas stockés en clair. Au lieu de cela, habituellement un fiable de hachage à sens unique fonction est utilisée pour créer une séquence de bits qui ne rappelle pas le mot de passe. Lorsqu'un mot de passe est entré, la même fonction de hachage est appliquée et le peu de modèles sont comparés. Si elles sont identiques, la probabilité est très forte que le mot de passe a été entré correctement.

Ce qui constitue un "fiable" fonction de hachage est délicate. Plusieurs sont dans l'usage commun, et certains de la commune les fonctions de hachage sont sensibles à des exploits connus.

Noelkd fournit un code qui illustre cette approche, bien que MD5, qui son code utilise, est (je crois) un qui est compromis au point qu'il y a de meilleurs choix. Cet article propose également un code pour faire quelque chose de similaire:

L'authentification des Utilisateurs et des mots de passe en Python

Si votre préoccupation est de stocker le mot de passe réel que vous devez passer à la base de données SQLite en clair, c'est un autre problème. La plupart du temps, j'ai vu les mots de passe stockés en clair dans des scripts ou d'un fichier de configuration et l'application est structurée de telle manière que compromettre ce mot de passe est une question de risque modeste.
- Ouais, je ne veux pas voir le code que j'ai posté pour la production, mais de montrer haché vérification de mot de passe, je sens qu'il sert son but. Vous post a quelques bons points à prendre en considération.
- Votre code est un excellent exemple! Voulais juste vous donner une réponse qui indique clairement que le fait d'essayer de fournir une sécurité absolue par mot de passe à l'aide d'un script local est susceptible d'envoyer les OP en bas d'un trou très profond.
- Les bons points tout rond, +1 OP n'est pas impressionné par mon script à en juger par ses commentaires .
- ne vous méprenez pas. Désolé si je me montrais impoli.Votre code est grand. Juste que le concept de protection par mot de passe est trop déroutant pour un débutant comme moi.
InformationsquelleAutor Mark R. Wilkins

Vous pouvez vérifier le hash de ce que l'utilisateur a entré vs le hash de votre mot de passe pour vérifier si l'utilisateur a entré le bon mot de passe, j'ai fait un exemple très simple de montrer ceci:

""" Python Password Check """
import hashlib
import sys

password = "2034f6e32958647fdff75d265b455ebf"

def main():
    # Code goes here
    print "Doing some stuff"
    sys.exit(0)


while True:
    input = raw_input("Enter password: ")
    if hashlib.md5(input).hexdigest() == password:
        print "welcome to the program"
        main()
    else:
        print "Wrong Password"

Dans l'exemple, le hachage de mot de passe est "secretpassword" qui hachages pour "2034f6e32958647fdff75d265b455ebf" donc, comme vous pouvez le voir, même si le code source est décompilé, vous pouvez toujours voir le hachage du mot de passe plutôt que le plan de texte du mot de passe.

Pour donner un peu d'une mise à jour pour 2016, actuellement si votre hachage des mots de passe en python que vous devriez être à la recherche à l'un des trois suivants libs:

passlib

>>> # import the hash algorithm
>>> from passlib.hash import sha256_crypt

>>> # generate new salt, and hash a password
>>> hash = sha256_crypt.encrypt("toomanysecrets")
>>> hash
'$5$rounds=80000$zvpXD3gCkrt7tw.1$QqeTSolNHEfgryc5oMgiq1o8qCEAcmye3FoMSuvgToC'

>>> # verifying the password
>>> sha256_crypt.verify("toomanysecrets", hash)
True
>>> sha256_crypt.verify("joshua", hash)
False

Exemple levée de ici

bcrypt

import bcrypt
password = b"super secret password"
# Hash a password for the first time, with a certain number of rounds
hashed = bcrypt.hashpw(password, bcrypt.gensalt(14))
# Check that a unhashed password matches one that has previously been
#   hashed
if bcrypt.hashpw(password, hashed) == hashed:
    print("It Matches!")
else:
    print("It Does not Match :(")

django-scrypt

Que faire si quelqu'un d'éditer le code source de "else: main() ?
Ils contournent votre protection.
Alors quel est le point de cette protection?
Vous pouvez contourner la plupart de la protection.
Merci pour le tuyau pour hashlib. À l'aide de hashlib.pbkdf2_hmac(hash_name, mot de passe, le sel, itérations, dklen=None)
ont mis à jour la question avec adapté libs pour 2016

InformationsquelleAutor Noelkd

4

Si vous faites la vérification sur l'ordinateur de l'utilisateur, ils peuvent modifier le code comment ils aiment bien, assez bien, peu importe ce que vous faites. Si vous avez besoin de sécurité comme cela, alors que le code doit être exécuté quelque part inaccessible, par exemple un serveur. "Ne croyez pas que le client est un important ordinateur principe de sécurité.

Je pense que ce que vous voulez faire est de faire un script serveur qui ne peut être accessible par un mot de passe donné par le programme client. Ce serveur programme fonctionne très bien, comme l'exemple de code donné dans d'autres réponses: quand un nouveau client est créé, ils envoient un mot de passe en clair sur le serveur qui le met par le biais d'un chiffrement à sens unique, et les stocke. Alors, quand un client veut utiliser le code qui est le corps principal de votre programme, ils envoient un mot de passe. Le serveur met ce à travers le chiffrement à sens unique, et voit si il correspond à n'importe quel stockées, les mots de passe hachés. Si c'est le cas, il exécute le code dans le corps principal du programme, et envoie le résultat à l'utilisateur.

Sur un sujet connexe, les autres réponses suggèrent à l'aide de la md5 algorithme. Cependant, ce n'est pas l'algorithme le plus sécurisé - tout assez sûr pour de nombreuses raisons, la hashlib module de la bibliothèque standard, donne d'autres, plus sécurisé algorithmes, et il n'y a pas de raison de ne pas utiliser à la place.

InformationsquelleAutor rlms
2

Sur un serveur seuls les administrateurs de serveur devrait avoir le droit de modifier le code. Par conséquent, pour modifier le code d'accès administrateur, et si vous le faites, alors vous pouvez accéder à tout de toute façon. 🙂

Il en va de même pour un programme client. Si la sécurité est le mot de passe de vérification, vous n'avez pas besoin de contourner le mot de passe de vérifier, il vous suffit de lire les fichiers de données directement.

Dans les deux cas, pour éviter que les gens qui ont accès aux fichiers à partir de la lecture de ces fichiers un mot de passe n'est pas assez. Vous avez pour chiffrer les données.

InformationsquelleAutor Lennart Regebro
1

Commençons par la base, maintenant, allons-nous? Tout en faisant les identifiants cryptage de mot de passe, nous devrions toujours faire un moyen de chiffrement. Une façon de cryptage, vous ne pouvez pas déchiffrer le texte une fois qu'il est crypté. Il y a de cryptage appelé md5 qui ne sont qu'un moyen de chiffrement.

Il y a déjà une bibliothèque est disponible en Python appelé hashlib.

De l'python docs:
```
>>> import hashlib
>>> m = hashlib.md5()
>>> m.update("Nobody inspects")
>>> m.update(" the spammish repetition")
>>> m.digest()
'\xbbd\x9c\x83\xdd\x1e\xa5\xc9\xd9\xde\xc9\xa1\x8d\xf0\xff\xe9'
>>> m.digest_size
16
>>> m.block_size
64
```
Plus sur cette: http://docs.python.org/2/library/hashlib.html?highlight=hashlib#hashlib
- Si je comprends bien, le chiffrement md5 a été brisé. blog.codinghorror.com/speed-hashing
InformationsquelleAutor Joyfulgrind
0

Pour protéger les données stockées sur l'ordinateur client, vous avez à le chiffrer. Période.

Si vous faites confiance à un utilisateur autorisé, vous pouvez utiliser un mot de passe de la clé de cryptage (de nombreux autres réponses sur la Pile d'adresses Exchange), et espère qu'il est assez intelligent pour protéger son ordinateur contre les logiciels malveillants.

Si vous ne pas la confiance de l'utilisateur autorisé (un.k.un. DRM), vous sont tout simplement hors de la chance-trouvez un autre projet.;-)

InformationsquelleAutor Terrel Shumway

-1

J'ai passé les deux derniers jours raffinage et de l'exécuter au moyen d'un mot de craquelins et il semble tenir le coup assez fort.

Voici mon code pour que vous regardez:

import time
import os
import random
import string
passwordScore = 0
def optionOne():
global passwordScore
#Code for checking a password
os.system('cls')
print('Option One has been selected')
password = input('Please type in your password here: ')
#Password check begins
if (len(password) > 7) and (password.isspace() == False):
#Check for capitalisation
for p in password:
if p.isupper() == True:
passwordScore += 1
else:
pass
passwordScore += 2
for s in string.punctuation:
#Beginning test for special letters
for p in password:
if s == p:
passwordScore += 1
else:
pass
else:
pass
# Returning results to the user
if passwordScore >= 5:
print('Your password is safe enough to use')
time.sleep(2)
elif passwordScore == 3:
print('We believe your password could be safer')
time.sleep(2)
else:
print('Your password is not safe enough to use')
print('using this password may place your data at risk')
time.sleep(2)
def optionTwo():
#Code for creating a password at random
print('Option Two has been selected')
chars = string.ascii_uppercase + string.ascii_lowercase + string.digits + string.punctuation
size = random.randint(8, 12)
newPassword = ''.join(random.choice(chars) for x in range(size))
print(newPassword)
def start():
print('Option 1: Check my passsword')
print('Option 2: Create a password')
option = input('Please chose your option here [ENTER]: ')
if option == '1':
#Option 1 has been selected
return optionOne()
elif option == '2':
#Option 2 has been selected
return optionTwo()
else:
#An error has occured
print('You have not selected a valid option')
time.sleep(1)
os.system('cls')
return start()
for i in range(1):
start()

Cela devrait faire le travail pour presque tout, aussi longtemps que vous l'ajuster à vos besoins!!

Selon le NIST (National Institute of Standards and Technology) Identité Numérique des lignes Directrices Non. "Besoin d'un 8 caractères minimum, >64 max sans troncature ou 6 chiffres aléatoires Utiliser un dictionnaire pour interdire les mots de passe communs à l'encontre d'un dictionnaire de la liste de 10M compromis mots de passe Permettre à tous l'impression de caractères (Unicode facultatif) + espaces), mais PEUT accepter des espaces Mieux pour accepter Unicode, y compris les émoticônes (1 “caractère”/point de code) . Mais que font-ils savoir. Les mots de passe doivent également être facilement memorizable.
Puis il y a XKCD Force du Mot de passe. Pour plus d'informations, voir: liste de Mot de passe est SecLists. Infosec piratage de mots de passe-outils Arstechnica Comment je suis devenu un cracker de mot de passe Avancé de Récupération de Mot de passe hashcat
Voir aussi PassMaker, juste en majuscules et en modifier le séparateur de caractères que nécessaire que nécessaire.

InformationsquelleAutor James Mccannon

Vous devez vous connecter pour publier un commentaire.