我目前想过一个网络驱动的密码数据库,它有多个帐户,登录/密码存储在像MySQL或Oracle这样的数据库引擎中。每个密码只能供一些用户使用:
用户A登录,创建新的登录信息并勾选一些复选框,以便向用户B和用户C提供此信息。用户D和E不应该看到它。
我的第一个想法:
密码以加密方式存储在数据库中。
这里的主要问题当然是,如果您有权访问服务器,您可以查看脚本并检测解密算法,以便您可以立即解密所有存储的密码。
所以我想,每个用户都获得密码工具的主密码,该密码工具是加密/解密算法的一部分(用户输入此主密码并使用自己的凭据登录)。这样做的好处是,第三个人不能简单地看一下脚本,看看他们如何解密,就像他必须知道主密码一样。但当然,访问权限非常有限的用户仍然可以解密所有密码,因为他们知道主密码。
所以基本上我的问题是:如果有人能够访问服务器,如何通过查看普通消息来源,如何才能拥有基于Web的多用户密码数据库?是否有可能使解密以某种方式依赖于可能正式看到密码的用户登录?
感谢你提供任何暗示!
请注意更清楚: 它旨在成为一个密码数据库,其中存储了不同应用程序的登录凭据,用户可以登录并查看他们必须为这些应用程序使用的凭据。像密码管理器工具,如1Password等。它只是一个带有用户名/密码的简单查找表,不应插入或与第三方应用程序交互。
答案 0 :(得分:1)
答案 1 :(得分:0)
答案 2 :(得分:0)
你看过像Passwordstate这样的产品了吗?所有密码都在数据库中加密,它们可以在多个人之间共享,所有页面都经过模糊处理以进一步保护,并且它与Active Directory集成以进行身份验证。
如果您想查看它,可以免费获得10个用户许可。