Python-Passwort-Schutz

Ich bin ein Anfänger also, wenn diese Frage klingt dumm, bitte Geduld mit mir.

Ich Frage mich, dass, wenn wir schreiben Sie den code für Benutzername/Kennwort-check-in python, wenn es nicht kompilierte exe ie script state, werden die Menschen nicht einfach die Datei öffnen und den code entfernen Trank, tun Sie das Passwort überprüfen?

Ich gehe davon aus, dass das ganze Programm vollständig geschrieben in python keine C oder C++.

Selbst wenn ich ein Programm wie py2exe es kann leicht dekompiliert zurück zum source-code. Also, heißt das, dass es nutzlos ist, zu tun, ein Kennwort zu überprüfen?

Wie professionelle Programmierer umgehen?

  • Können Sie ein Beispiel geben, wenn Sie tun könnten, Passwort-Schutz, rein in ein Python-Programm? In der Regel, wenn Sie ein Kennwort eingeben, es ist der Zugriff auf eine externe Ressource.
  • Mit Passwort-Schutz meinen wir, Authentifizierung und Autorisierung, das heißt, das Programm kann ausgeführt werden, indem ein "Benutzer" oder für die Durchsetzung von software-Lizenz, wo Sie wollen, user zu Lizenz kaufen und das Programm überprüft, dass. Ich denke, Durchsetzung von Lizenzen ist wie Ihr darauf hingewiesen, hart in python im speziellen im Vergleich zu sagen wir Java.
  • Ich bin ein Anfänger also ich bin mir nicht ganz sicher. Derzeit, was ich habe, ist ein Programm, dass Benutzereingaben erfolgen und Speicherung der Daten in sqlite-Datenbank. Und ich habe eine einfache Passwortabfrage mit hash lib
InformationsquelleAutor Chris Aung | 2013-09-02
  1. 5

    Edit: Deine geänderte Frage macht klar, dass Sie sich Gedanken über die Menschen Bearbeiten den code zu umgehen, ein Kennwort zu überprüfen. Ja, das ist durchaus möglich. Können Sie liefern Sie Ihren code in .pyc form, aber das wird nicht unbedingt verhindern, dass jemand das dekompilieren und verändern es. Leider, Python ist einfach nicht entwickelt, um zu verhindern, dass code-änderung. Das beste, was Sie tun können ist, führen Sie irgendeine Art der Authentifizierung der Transaktion mit einem sicheren server, so dass egal, wie jemand verändert den code, können Sie nicht umgehen, diesen Schritt zu tun. Abhängig von Ihrer genauen Anwendung, das wäre des guten zuviel.

    Dem problem, wie die Verwaltung die Passwort-Authentifizierung ist eine heikle Sicherheitslücke auf, die Menschen verbringen ganze Karriere. Allerdings, hier sind einige Informationen darüber, dass auch davon ausgegangen, dass Sie versuchen, Rollen Sie Ihre eigenen Passwort-Authentifizierung von Grund auf:

    Selbst für casual-Passwort-Schutz, als eine Allgemeine Regel, die Benutzer-Passwörter werden nicht gespeichert in einem nur-Text-Format. Statt, in der Regel eine zuverlässige ein-Weg-hash-Funktion wird verwendet, um eine bit-Muster, die nicht ähneln das Passwort. Wenn ein Passwort eingegeben wird, wird die gleiche hash-Funktion angewendet wird und die bit-Muster verglichen werden. Wenn diese identisch sind, ist die Wahrscheinlichkeit Recht hoch, dass das Kennwort richtig eingegeben wurde.

    Was unter einer "sicheren" hash-Funktion ist schwierig. Mehrere sind im Allgemeinen Gebrauch, und einige der gemeinsamen hash-Funktionen sind anfällig für bekannte exploits.

    Noelkd bietet einige code, der veranschaulicht diesen Ansatz, obwohl die MD5, die seinem code verwendet, ist (glaube ich) eine, die gefährdet ist, in einem Ausmaß, dass es bessere Möglichkeiten gibt. Dieser Artikel bietet auch einige code, etwas ähnliches zu tun:

    Die Authentifizierung von Benutzern und Kennwörtern in Python

    Wenn Ihr Anliegen ist, speichern Sie das aktuelle Passwort, das Sie passieren müssen, um die SQLite-Datenbank in Klartext, das ist ein anderes problem. Die meisten der Zeit, ich habe gesehen, wie Passwörter in Klartext gespeichert, entweder Skripte oder eine Konfiguration-Datei, und die Anwendung ist so strukturiert, dass Kompromisse das Passwort ist eine Sache von bescheiden Risiko.

    • Ja, ich würde nicht wollen, um zu sehen, den code, den ich gepostet für die Produktion, sondern um zu zeigen, Hash-Passwort-Prüfung ich fühle es erfüllt seinen Zweck. Das Sie post hat einige gute Punkte zu beachten.
    • Dein code ist ein gutes Beispiel! Wollte nur eine Antwort, die deutlich macht, dass der Versuch, absolute Sicherheit per Passwort mit einem lokalen Skript wird wahrscheinlich senden Sie die OP-down-ein ganz tiefes Loch.
    • Gute Punkte, die alle Runde, +1 OP ist das nicht beeindruckt mit meinem Skript die Beurteilung durch seine Kommentare .
    • don ' T verwechselt werden. Sorry, wenn ich unhöflich Klang.Dein code ist Super. Nur, dass das Konzept der Passwort-Schutz ist zu verwirrend für einen Anfänger wie mich.
    InformationsquelleAutor Mark R. Wilkins
  2. 5

    Können Sie den hash von dem, was ein Benutzer eingegeben hat vs den Hashwert Ihres Kennworts zu überprüfen, wenn der Benutzer das korrekte Passwort eingegeben, ich habe ein sehr einfaches Beispiel, um dies zu zeigen:

    """ Python Password Check """
import hashlib
import sys

password = "2034f6e32958647fdff75d265b455ebf"

def main():
    # Code goes here
    print "Doing some stuff"
    sys.exit(0)


while True:
    input = raw_input("Enter password: ")
    if hashlib.md5(input).hexdigest() == password:
        print "welcome to the program"
        main()
    else:
        print "Wrong Password"

    In dem Beispiel, das gehashte Passwort ist "secretpassword" die hashes zu "2034f6e32958647fdff75d265b455ebf" so wie Sie sehen können, auch wenn der Quellcode dekompiliert können Sie trotzdem nur den hash des Passwortes, anstatt den plan, den text des Kennworts.

    Zu geben, dies ein bisschen ein update für 2016, derzeit wenn Ihr hashing der Passwörter in python geben, die Sie suchen sollten in einer der drei folgenden libs:

    passlib

    >>> # import the hash algorithm
>>> from passlib.hash import sha256_crypt

>>> # generate new salt, and hash a password
>>> hash = sha256_crypt.encrypt("toomanysecrets")
>>> hash
'$5$rounds=80000$zvpXD3gCkrt7tw.1$QqeTSolNHEfgryc5oMgiq1o8qCEAcmye3FoMSuvgToC'

>>> # verifying the password
>>> sha256_crypt.verify("toomanysecrets", hash)
True
>>> sha256_crypt.verify("joshua", hash)
False

    Beispiel genommen hier

    bcrypt

    import bcrypt
password = b"super secret password"
# Hash a password for the first time, with a certain number of rounds
hashed = bcrypt.hashpw(password, bcrypt.gensalt(14))
# Check that a unhashed password matches one that has previously been
#   hashed
if bcrypt.hashpw(password, hashed) == hashed:
    print("It Matches!")
else:
    print("It Does not Match :(")

    django-scrypt

    • Was, wenn jemand den source-code zu "else: main() ?
    • Sie umgehen würde, Ihren Schutz.
    • Was ist dann der Punkt, dass der Schutz?
    • Umgehen kann man die meisten Schutz.
    • Danke für den Hinweis zu hashlib. Mit hashlib.pbkdf2_hmac(hash_name, Passwort, salt, Iterationen, dklen=None)
    • aktualisiert haben die Frage mit passenden libs für 2016

    InformationsquelleAutor Noelkd
  3. 4

    Wenn Sie die Prüfung auf dem Rechner des Nutzers, Sie können den code Bearbeiten, wie Sie mögen, so ziemlich egal was Sie tun. Wenn Sie brauchen Sicherheit, wie dies dann der code ausgeführt werden soll irgendwo unzugänglich, zum Beispiel einem server. "Don' T trust the client" ist ein wichtiger computer-security-Prinzip.

    Ich denke, was Sie tun möchten, ist eine server-Skript, das nur den Zugriff durch ein Passwort gegeben, um es durch das client-Programm. Dieses server-Programm funktioniert sehr ähnlich wie das Beispiel-code in anderen Antworten: wenn ein neuer Mandant erstellt wird, schicken Sie ein Klartext-Passwort, um die server, die es ausdrückt, durch ein one-way-Verschlüsselung und speichert Sie. Dann, wenn ein client will, um den code zu verwenden, der den Hauptteil des Programms, senden Sie ein Passwort. Der server stellt diese über die ein-Weg-Verschlüsselung, und sieht, ob Sie mit einem gespeicherten, Hash-Passwörter. Wenn es das tut, führt er den code im Hauptteil des Programms, und sendet das Ergebnis zurück an den Nutzer.

    Auf ein Verwandtes Thema, die anderen Antworten vorschlagen, die md5 Algorithmus. Dies ist jedoch nicht die sicherste Algorithmus - während sicher genug für viele Zwecke, die hashlib - Modul in der standard-Bibliothek gibt andere, sicherere algorithmen, und es gibt keinen Grund, nicht zu verwenden Sie diese stattdessen.

    InformationsquelleAutor rlms
  4. 2

    Auf einem server nur server-Administratoren sollten das Recht haben, den code zu ändern. Daher, um den code zu ändern, müssen Sie über Administratorrechte verfügen, und wenn Sie tun, und Sie können eh alles. 🙂

    Das gleiche gilt für ein client-Programm. Wenn die einzige Sicherheit ist das Passwort überprüfen, die Sie nicht brauchen, um rund um das Kennwort zu überprüfen, können Sie nur die Daten Lesen, Dateien direkt.

    In beiden Fällen, um zu verhindern, dass Personen, die Zugriff auf die Dateien, die aus dem Lesen dieser Dateien eine Passwortabfrage ist nicht genug. Sie haben die Daten zu verschlüsseln.

    InformationsquelleAutor Lennart Regebro
  5. 1

    Beginnen wir mit dem basic jetzt, sollen wir? Während Sie die login-Anmeldeinformationen-Kennwort-Verschlüsselung, sollten wir immer tun, einen Weg-Verschlüsselung. Ein-Weg-Verschlüsselung bedeutet, dass Sie nicht entschlüsseln können, den text, sobald es verschlüsselt ist. Es ist eine Art Verschlüsselung genannt md5 die sind nur one-way-Verschlüsselung.

    Gibt es bereits eine Bibliothek, die für Sie in Python genannt hashlib.

    Aus der python-Dokumentation:

    >>> import hashlib
>>> m = hashlib.md5()
>>> m.update("Nobody inspects")
>>> m.update(" the spammish repetition")
>>> m.digest()
'\xbbd\x9c\x83\xdd\x1e\xa5\xc9\xd9\xde\xc9\xa1\x8d\xf0\xff\xe9'
>>> m.digest_size
16
>>> m.block_size
64

    Mehr dazu: http://docs.python.org/2/library/hashlib.html?highlight=hashlib#hashlib

    InformationsquelleAutor sachitad
  6. 0

    Für den Schutz von Daten auf dem client-Rechner, Sie haben es zu verschlüsseln. Zeitraum.

    Wenn Sie Vertrauen ein autorisierter Benutzer sind, können Sie eine Passwort-basierte Verschlüsselung-Schlüssel (viele weitere Antworten auf Stack Exchange-Adresse), und hoffe, er ist schlau genug, um seinen computer vor malware.

    Wenn Sie nicht Vertrauen auf die autorisierten Benutzer (ein.k.ein. DRM -) Sie sind einfach nur Pech gehabt-finden Sie Sie ein anderes Projekt.;-)

    InformationsquelleAutor Terrel Shumway
  7. -1

    Verbringen ich habe die letzten paar Tage an der Weiterentwicklung dieses und es läuft durch Kennwort-Crackern und es scheint zu halten ziemlich stark.

    Hier ist mein code für Sie zu suchen:

    import time
import os
import random
import string

passwordScore = 0

def optionOne():
    global passwordScore
    #Code for checking a password
    os.system('cls')
    print('Option One has been selected')
    password = input('Please type in your password here: ')

    #Password check begins
    if (len(password) > 7) and (password.isspace() == False):
        #Check for capitalisation
        for p in password:
            if p.isupper() == True:
                passwordScore += 1
            else:
                pass

        passwordScore += 2
        for s in string.punctuation:
            #Beginning test for special letters
            for p in password:
                if s == p:
                    passwordScore += 1
                else:
                    pass
    else:
        pass

    # Returning results to the user
    if passwordScore >= 5:
        print('Your password is safe enough to use')
        time.sleep(2)
    elif passwordScore == 3:
        print('We believe your password could be safer')
        time.sleep(2)
    else:
        print('Your password is not safe enough to use')
        print('using this password may place your data at risk')
        time.sleep(2)


def optionTwo():
    #Code for creating a password at random
    print('Option Two has been selected')
    chars = string.ascii_uppercase + string.ascii_lowercase + string.digits + string.punctuation
    size = random.randint(8, 12)
    newPassword = ''.join(random.choice(chars) for x in range(size))
    print(newPassword)

def start():
    print('Option 1: Check my passsword')
    print('Option 2: Create a password')
    option = input('Please chose your option here [ENTER]: ')

    if option == '1':
        #Option 1 has been selected
        return optionOne()
    elif option == '2':
        #Option 2 has been selected
        return optionTwo()
    else:
        #An error has occured
        print('You have not selected a valid option')
        time.sleep(1)
        os.system('cls')
        return start()


for i in range(1):
    start()

    Dieser sollte den job tun, für fast alles zu haben, solange Sie optimieren und Ihren Bedürfnissen!!

    • Nach NIST (National Institute of Standards and Technology) Digital-Identity-Richtlinien Keine. "Benötigen 8 Zeichen min, >64 max mit keine Kürzung oder 6 Zufallszahlen Verwenden Sie ein Wörterbuch zu verbieten, gemeinsame Passwörter gegen eine Wörterbuch-Liste von 10M kompromittierten Passwörter Ermöglichen alle druckbare Zeichen (Unicode optional) + Leerzeichen KANN aber kanonisiert, Räume, am Besten zu akzeptieren, Unicode, einschließlich emojis (1 "- Zeichen"/code point) ?. Aber was Sie weiß. ? Passwörter müssen auch leicht memorizable.
    • Dann gibt es XKCD Passwort Stärke. Weitere Informationen finden Sie unter: Passwort-Liste auf SecLists. Infosec Passwort-cracking-tools Arstechnica Wie wurde ich ein password cracker Advanced Password Recovery hashcat
    • Siehe auch PassMaker, nur Großbuchstaben und ändern Sie das seperator-Zeichen als benötigt, wie gebraucht.
    InformationsquelleAutor James Mccannon
Schreibe einen Kommentar