我需要共享ToadStudio SQLeditor的连接设置文件。
我确实对设置文件中存储的密码存在疑虑。
目前文件如下:
<ToadStudio>
<FileVersion Encryption="3Des">3</FileVersion>
<ConnectionHierarchy>
<DbPlatform name="MySQL">
<Path />
<Connections>
<Connection type="MySQL" autoCommit="True">
<Path>MySQL</Path>
<AutoConnect>False</AutoConnect>
<Database>db</Database>
<Host>localhost</Host>
<User>dbuser</User>
<Password>EF9ED08748C745FC</Password>
<WinAuth>False</WinAuth>
<LastConnectionDate>0001-01-01T00:00:00.0000000</LastConnectionDate>
<Options>
<Protocol type="SSH" />
<SSH host="127.0.0.1" user="sshuser" password="744F3C66F88E084B" />
</Options>
</Connection>
</Connections>
<Groups />
</DbPlatform>
</ConnectionHierarchy>
</ToadStudio>
它意味着通过SSH隧道连接到数据库。
因此,关注的是密码存储在此文件中的方式。 查看文件中的第一行,我假设密码是使用三重DES加密的。
在上面的示例中,密码等于用户名(dbuser,sshuser)
由于我可以共享此文件,因此任何其他TOADStudio实例都可以将其解密为原始纯文本,因此我只能猜测toadStudio使用硬编码种子来加密内容。
我没有在我的服务器中运行国家机密,但我想要一点保证,根据这些设置文件获取密码明文并不容易。
任何见解都将受到赞赏。
答案 0 :(得分:0)
对我来说,这看起来像3DES,实际上比一般应用程序使用的更安全 - 看看VNC如何在某天存储密码,非常可怕。
无论如何,听起来你肯定是在正确的轨道上。您是否真的测试过共享此文件允许其他TOAD用户使用您存储的信息进行连接?如果是这样的话,那么获取这些密码的人可能会相当容易(尽管不是那么简单)。也就是说,3DES现在还不够用,而且相当容易破解,但是如果有人有足够的权限访问你的机器来窃取该文件,他们可以轻松地键入你,安装后门或各种其他东西。从安全角度来看,如果攻击者有足够的权限获取该文件,那么无论如何它都可能是游戏。