您现在的位置:首页 --> 查看专题: 密码
一台测试服务器,很久没有登录使用,忘记了mysql得root密码,经过搜索引擎一番查找,发现需要进行如下步骤做root密码重置。
哪怕到了最近几年,数据库被黑客完整下载的安全事件,也是层出不穷,程序员世界戏称为“脱裤”,好像光屁股一样羞耻。比如,刚过去不久的 CSDN,小米,多玩,等等事件都还历历在目。所以,程序员写代码决不能抱有侥幸心里,用户的密码,是最最隐私的东西,一定要妥善处理,一旦泄露,会给用户和服务网站都带来不可估量的损失。
ssh相关的一些命令:
ssh-keygen: 创建一对公私钥;
ssh-add: 添加秘钥, -L选项查看添加过了的秘钥;
ssh-copy-id: 将公钥放到远程服务器上;
最近管理的一批机器,有个需求是要统一修改一个帐号的用户名密码,比如将qa帐号的密码改为1234,后来还为了脚本化,很方便的执行,还使用了非交互式地修改用户的密码。简单记录一下吧。
为了对用户负责,用户密码采用不可逆算法的时候,我们就要考虑一下如何对用户密码进行加密。那么仅仅是使用不可逆算法就行了吗?还不是,在硬件飞速发展的今天,尤其是GPU运算能力超CPU 10-20倍甚至更多,使得暴力破解的时间大大缩短。那么为了使得暴力破解变得几乎不可能,我们就要使用一些不支持GPU加速破解的算法。这里所说的算法,实际上也是各种加密的hash方式。
去年CSDN密码泄露案公布之后,很多专家跳出来讨伐说他家的程序员太白痴居然还在数据库里面存明文。最近linkedin的事件出来之后,如何保存密码,这个问题又被拉出来谈。我认为,密码怎么保存与怎么在网上传输,这两个问题不能分开来谈。除非你已经有了安全的信道,如SSL,否则还是存明文为妙。 mysql对其原始的CHAP协议做了些改进: storedhash=sha1(passphrase) reply=xor(passphrase, sha1(public_seed,storedhash) 在网络上发送的是public_seed、reply,数据库里面存储的是storedhash。所以如果只是拿到了mysql.user表里的数据,而没有原始的passphrase,想要构造出reply,还是挺困难的。不过我估计这个算法是工程师自己想出来的,根本就没找安全专家讨论过,未必经得起推敲。
最近一段时间,关于密码的安全问题暴露了很多,先是各大安全公司公布的常见密码,后来又是CSDN的密码泄露事件。按道理说,密码是第一道安全防线,应该引起足够的重视,但在实践过程中,问题依然不少。首先是弱密码的问题。密码做为用户认证的一种方法(something you know),是最简单的,但也是最不安全的一种。密码的选择应人而异,选择密码首先要容易记,还有就是输入方便。其中最重要的就是容易记。这个和其他认证方式,比如som...
这几天CSDN数据库明文密码泄密闹得满城风雨,人人自危。大家开始关注网络安全和隐私问题。由这次的问题,对加密验证过程我也思考过,有没有一套相对安全的存储和验证方法?这里我根据各种验证方法,确实总结了一套可行且相对安全的存储和验证方法,且看我细细道来,最后提出MySQL当前验证方法的改进。
近期接连爆出网站注册用户的账号密码,以及邮箱地址信息,被公布在网络上,并且提供网络下载地址,而且这些网站泄漏的信息都一个特点,多数为2009年左右,且是提供账号名称、密码和邮箱地址信息,这就非常值得可疑,为此以一个IT从业者的角度谈谈个人看法。 首先我们梳理下,这次网站账号密码被人公布在网络上事件的过程。。。
今天去首都在线机房清点服务器和网络设备,忙了一天。回到公司听说网络流传CSDN帐号数据库的事情,也不断有朋友和会员问我这个事情,CSDN帐号数据库是不是明文保存密码,是否安全?考虑到大家对这个问题都非常关注,解释一下相关的情况: CSDN网站早期使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式,改成了...
在网路数据大量集中的今天,一旦发生安全问题,则将对广大的用户带来极大的困扰,我相信有很多用户不能及时获得这一消息,则其重要信息就可能被泄露窃取。后果不堪设想。 所以,对数据进行充分的安全保护、安全防范,是每一个有责任的公司都应该全面考虑的内容。 我们可以想象,在数据被发布出来之前,黑客可能已经利用该数据进行了大量的非法活动,那么谁又会为侵害来承担责任呢?
谁都不想弄丢家门钥匙,但对很多人来说,这样的事情总会发生几次。MySQL密码也是一样,把它写在文档上不太安全,记在脑子里又难免会忘记。 如果你忘记了MySQL密码,如何重置它呢? 下面是错误答案: 首先停止MySQL服务,然后使用skip-grant-tables参数启动它
一直都有用到这个,但是每次用都要去查一下,干脆现在记下来。 除了通过交互式的方式输入用户名和密码以为,SSH中还可以通过一种“公私钥”的方式进行登录,具体的原理为: 首先在客户端上创建一对公私钥 (公钥文件:~/.ssh/id_rsa.pub; 私钥文件:~/.ssh/id_rsa) 然后把公钥放到服务器上(~/.ssh/authorized_keys), 自己保留好私钥 当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了 具体的...
问题概述(Problem Summary)用户被要求输入其他网站的登录名和登录密码,以便网站能访问到该用户在其他网站的地址簿 ,联系人列表或者其他一些数据。例子(Example) ilike上的密码反面模式 plaxo用了“密码反面模式”,要求用户的google帐户和密码;何时用(Use When) 1.当你允许用户从其他网站上抓取朋友和联系人数据的时候,不要使用此模式; 2.如果你想让用户了解是如何被欺骗的(被钓鱼),请使用此模式; 3.遏制采用...
注册一个网站总是有很多原因,而根源只有一个:建立可持续跟踪的联系。比如发布内容,加好友或者网上交易。除此之外,无论是阅读,还是作为过客留言,我们都更希望能不注册就不注册,一切求简。为了尽可能减少注册带给用户的麻烦,现在注册的门槛也“每况愈下”:只用填写电邮和密码。更有的网站甚至直接发送一份随机密码到电邮(因为你迟早是要去邮箱验证激活的)。
经常会遇到安装过Mysql后,忘记密码的情况。这里记录如何在Windows/linux环境下,重置mysql root密码。1、编辑MySQL(和PHP搭配之最佳组合)配置文件:windows环境中:%MySQL(和PHP搭配之最佳组合)_installdir%\my.ini //一般在MySQL(和PHP搭配之最佳组合)安装目录下有my.ini即MySQL(和PHP搭配之最佳组合)的配置文件。linux环境中:/etc/my.cnf在[MySQL(和PHP搭配之最佳组合)d]配置段添加如下一行:
大家知道,当我们登录QQ后,可以直接在QQ上启动QQ游戏,这时候QQ游戏会启动,并以当前QQ用户进行登录,而不需要输入QQ号及密码。 我这个人应该算是比较善于思考的了(-^_^-),我想QQ肯定是通过某种方式把QQ号及密码信息传递给QQ游戏了。 我们来看一下QQ游戏的命令行(有的任务管理器可以直接看到): 打开命令提示符窗口输入wmic 回车 (如果是第一次使用wmic,会提示正在安装,稍等几秒钟就行了)然后输入process 回车 此时会显示...
解决linux下安装ssl后,apache重启时需要密码的问题。在帮客户购买的vps上面安装完SSL以后,每次启动apache时都需要输入密码,觉得维护起来非常的麻烦。客户的vps是ubuntu Sever,其他linux服务器...
作为一名系统管理员,经常需要在各种机器中倒腾来倒腾去的。嗯,做为一个超级大懒人,我想了不少办法来一步步简化连接方法。请一条条看,瘟到死插屁用户请绕行。 Section one:从终端复制字符串到剪贴板的工具:xclip 这个只针对linux/unix等X用户有效。我在bash_profile中写了这么一行: alias pw=’echo PASSWORD|xclip’ 然后在要输入密码之前,先在终端中输命令pw,这个密码就存在粘贴板里了。然后接下来,你就粘贴就行了,简...
[ 共23篇文章 ][ 第1页/共2页 ][ 1 ][ 2 ]
近3天十大热文
- [46] IOS安全–浅谈关于IOS加固的几种方法
- [45] 图书馆的世界纪录
- [45] 如何拿下简短的域名
- [45] Oracle MTS模式下 进程地址与会话信
- [42] 【社会化设计】自我(self)部分――欢迎区
- [42] android 开发入门
- [41] 读书笔记-壹百度:百度十年千倍的29条法则
- [41] 界面设计速成
- [39] 视觉调整-设计师 vs. 逻辑
- [35] Go Reflect 性能
赞助商广告