Ẩn mật khẩu trong tập lệnh python (chỉ che giấu không an toàn)

Tôi đã có một tập lệnh python đang tạo kết nối ODBC. Kết nối ODBC được tạo bằng chuỗi kết nối. Trong chuỗi kết nối này, tôi phải bao gồm tên người dùng và mật khẩu cho kết nối này.

Có một cách dễ dàng để che khuất mật khẩu này trong tệp (chỉ là không ai có thể đọc mật khẩu khi tôi chỉnh sửa tệp)?

Mã hóa Base64 nằm trong thư viện chuẩn và sẽ làm gì để ngăn những người lướt vai:

>>> import base64
>>>  print(base64.b64encode("password".encode("utf-8")))
cGFzc3dvcmQ=
>>> print(base64.b64decode("cGFzc3dvcmQ=").decode("utf-8"))
password

Douglas F Shearer's là giải pháp được phê duyệt chung trong Unix khi bạn cần chỉ định mật khẩu cho đăng nhập từ xa.
Bạn thêm tùy chọn --password-from-file để chỉ định đường dẫn và đọc văn bản gốc từ một tệp.
Các tập tin sau đó có thể nằm trong khu vực riêng của người dùng được bảo vệ bởi hệ điều hành. Nó cũng cho phép những người dùng khác nhau tự động lấy tập tin của riêng họ.

Đối với mật khẩu mà người dùng tập lệnh không được phép biết - bạn có thể chạy tập lệnh với sự cho phép được giải thích và có tệp mật khẩu thuộc sở hữu của người dùng root / admin đó.

Đây là một phương pháp đơn giản:

1. Tạo một mô-đun python - hãy gọi nó là peekaboo.py.
2. Trong peekaboo.py, bao gồm cả mật khẩu và bất kỳ mã nào cần mật khẩu đó
3. Tạo một phiên bản được biên dịch - peekaboo.pyc - bằng cách nhập mô-đun này (thông qua dòng lệnh python, v.v ...).
4. Bây giờ, xóa peekaboo.py.
5. Bây giờ bạn có thể vui vẻ nhập peekaboo chỉ dựa vào peekaboo.pyc. Vì peekaboo.pyc là byte được biên dịch nên người dùng thông thường không thể đọc được.

Điều này sẽ an toàn hơn một chút so với giải mã base64 - mặc dù nó dễ bị bộ dịch ngược py_to_pyc.

Nếu bạn đang làm việc trên một hệ thống Unix, hãy tận dụng mô-đun netrc trong thư viện Python chuẩn. Nó đọc mật khẩu từ một tệp văn bản riêng biệt (.netrc), có định dạng được giải mã ở đây .

Đây là một ví dụ sử dụng nhỏ:

import netrc

# Define which host in the .netrc file to use
HOST = 'mailcluster.loopia.se'

# Read from the .netrc file in your home directory
secrets = netrc.netrc()
username, account, password = secrets.authenticators( HOST )

print username, password

Giải pháp tốt nhất, giả sử tên người dùng và mật khẩu không thể được cung cấp trong thời gian chạy bởi người dùng, có lẽ là một tệp nguồn riêng biệt chỉ chứa khởi tạo biến cho tên người dùng và mật khẩu được nhập vào mã chính của bạn. Tập tin này chỉ cần chỉnh sửa khi thông tin đăng nhập thay đổi. Mặt khác, nếu bạn chỉ lo lắng về những người lướt vai có bộ nhớ trung bình, mã hóa cơ sở 64 có lẽ là giải pháp dễ nhất. ROT13 quá dễ để giải mã thủ công, không phân biệt chữ hoa chữ thường và giữ quá nhiều ý nghĩa trong trạng thái được mã hóa. Mã hóa mật khẩu và id người dùng bên ngoài tập lệnh python. Có anh ấy giải mã kịch bản lúc chạy để sử dụng.

Cung cấp thông tin đăng nhập cho các tác vụ tự động luôn là một đề xuất rủi ro. Tập lệnh của bạn phải có thông tin đăng nhập riêng và tài khoản mà nó sử dụng sẽ không có quyền truy cập nào ngoài chính xác những gì cần thiết. Ít nhất là mật khẩu phải dài và khá ngẫu nhiên.

Làm thế nào về việc nhập tên người dùng và mật khẩu từ một tập tin bên ngoài vào tập lệnh? Theo cách đó, ngay cả khi ai đó nắm giữ tập lệnh, họ sẽ không tự động lấy mật khẩu.

Base64 là cách phù hợp với nhu cầu đơn giản của bạn. Không cần nhập bất cứ thứ gì:

>>> 'your string'.encode('base64')
'eW91ciBzdHJpbmc=\n'
>>> _.decode('base64')
'your string'

cho python3 obfuscation sử dụng base64được thực hiện khác nhau:

import base64
base64.b64encode(b'PasswordStringAsStreamOfBytes')

kết quả là

b'UGFzc3dvcmRTdHJpbmdBc1N0cmVhbU9mQnl0ZXM='

lưu ý biểu diễn chuỗi không chính thức, chuỗi thực tế nằm trong dấu ngoặc kép

và giải mã trở lại chuỗi ban đầu

base64.b64decode(b'UGFzc3dvcmRTdHJpbmdBc1N0cmVhbU9mQnl0ZXM=')
b'PasswordStringAsStreamOfBytes'

để sử dụng kết quả này trong đó các đối tượng chuỗi được yêu cầu, đối tượng byte có thể được dịch

repr = base64.b64decode(b'UGFzc3dvcmRTdHJpbmdBc1N0cmVhbU9mQnl0ZXM=')
secret = repr.decode('utf-8')
print(secret)

để biết thêm thông tin về cách python3 xử lý byte (và chuỗi phù hợp), vui lòng xem tài liệu chính thức .

Đây là một vấn đề khá phổ biến. Thông thường, điều tốt nhất bạn có thể làm là

A) tạo một số loại chức năng mã hóa ceasar để mã hóa / giải mã (không phải là rot13) hoặc

B) phương pháp ưa thích là sử dụng khóa mã hóa, trong tầm với của chương trình của bạn, mã hóa / giải mã mật khẩu. Trong đó bạn có thể sử dụng bảo vệ tập tin để bảo vệ truy cập khóa.

Dọc theo những dòng đó nếu ứng dụng của bạn chạy dưới dạng dịch vụ / daemon (như máy chủ web), bạn có thể đặt khóa của mình vào kho khóa được bảo vệ bằng mật khẩu với mật khẩu nhập vào như một phần của dịch vụ khởi động. Sẽ cần một quản trị viên để khởi động lại ứng dụng của bạn, nhưng bạn sẽ thực sự giả vờ tốt về mật khẩu cấu hình của mình.

Hệ điều hành của bạn có thể cung cấp các phương tiện để mã hóa dữ liệu một cách an toàn. Chẳng hạn, trên Windows có DPAPI (API bảo vệ dữ liệu). Tại sao không hỏi người dùng về thông tin đăng nhập của họ trong lần đầu tiên bạn chạy sau đó thu thập chúng được mã hóa cho các lần chạy tiếp theo?

Thẩm định nhiều cây nhà hơn là chuyển đổi xác thực / mật khẩu / tên người dùng thành các chi tiết được mã hóa. FTPLIB chỉ là ví dụ. " pass.csv " là tên tệp csv

Lưu mật khẩu trong CSV như dưới đây:

tên tài khoản

mật khẩu người dùng

(Không có tiêu đề cột)

Đọc CSV và lưu nó vào danh sách.

Sử dụng danh sách elelments làm chi tiết xác thực.

Mã đầy đủ.

import os
import ftplib
import csv 
cred_detail = []
os.chdir("Folder where the csv file is stored")
for row in csv.reader(open("pass.csv","rb")):       
        cred_detail.append(row)
ftp = ftplib.FTP('server_name',cred_detail[0][0],cred_detail[1][0])

Đây là đoạn trích của tôi cho điều đó. Về cơ bản, bạn nhập hoặc sao chép hàm vào mã của bạn. getCredentials sẽ tạo tệp được mã hóa nếu nó không tồn tại và trả về một từ điển và updateCredential sẽ cập nhật.

import os

def getCredentials():
    import base64

    splitter='<PC+,DFS/-SHQ.R'
    directory='C:\\PCT'

    if not os.path.exists(directory):
        os.makedirs(directory)

    try:
        with open(directory+'\\Credentials.txt', 'r') as file:
            cred = file.read()
            file.close()
    except:
        print('I could not file the credentials file. \nSo I dont keep asking you for your email and password everytime you run me, I will be saving an encrypted file at {}.\n'.format(directory))

        lanid = base64.b64encode(bytes(input('   LanID: '), encoding='utf-8')).decode('utf-8')  
        email = base64.b64encode(bytes(input('   eMail: '), encoding='utf-8')).decode('utf-8')
        password = base64.b64encode(bytes(input('   PassW: '), encoding='utf-8')).decode('utf-8')
        cred = lanid+splitter+email+splitter+password
        with open(directory+'\\Credentials.txt','w+') as file:
            file.write(cred)
            file.close()

    return {'lanid':base64.b64decode(bytes(cred.split(splitter)[0], encoding='utf-8')).decode('utf-8'),
            'email':base64.b64decode(bytes(cred.split(splitter)[1], encoding='utf-8')).decode('utf-8'),
            'password':base64.b64decode(bytes(cred.split(splitter)[2], encoding='utf-8')).decode('utf-8')}

def updateCredentials():
    import base64

    splitter='<PC+,DFS/-SHQ.R'
    directory='C:\\PCT'

    if not os.path.exists(directory):
        os.makedirs(directory)

    print('I will be saving an encrypted file at {}.\n'.format(directory))

    lanid = base64.b64encode(bytes(input('   LanID: '), encoding='utf-8')).decode('utf-8')  
    email = base64.b64encode(bytes(input('   eMail: '), encoding='utf-8')).decode('utf-8')
    password = base64.b64encode(bytes(input('   PassW: '), encoding='utf-8')).decode('utf-8')
    cred = lanid+splitter+email+splitter+password
    with open(directory+'\\Credentials.txt','w+') as file:
        file.write(cred)
        file.close()

cred = getCredentials()

updateCredentials()

Đặt thông tin cấu hình trong một tập tin cấu hình được mã hóa. Truy vấn thông tin này trong mã của bạn bằng cách sử dụng một khóa. Đặt khóa này vào một tệp riêng cho mỗi môi trường và không lưu trữ mã đó với mã của bạn.

Bạn có biết hố không?

https://pypi.python.org/pypi/pit (chỉ py2 (phiên bản 0.3))

https://github.com/yoshiori/pit (nó sẽ hoạt động trên py3 (phiên bản hiện tại 0.4))

kiểm tra

from pit import Pit

config = Pit.get('section-name', {'require': {
    'username': 'DEFAULT STRING',
    'password': 'DEFAULT STRING',
    }})
print(config)

Chạy:

$ python test.py
{'password': 'my-password', 'username': 'my-name'}

~ / .pit / default.yml:

section-name:
  password: my-password
  username: my-name

Nếu chạy trên Windows, bạn có thể cân nhắc sử dụng thư viện win32crypt. Nó cho phép lưu trữ và truy xuất dữ liệu được bảo vệ (khóa, mật khẩu) bởi người dùng đang chạy tập lệnh, do đó mật khẩu không bao giờ được lưu trữ ở dạng văn bản rõ ràng hoặc định dạng bị xáo trộn trong mã của bạn. Tôi không chắc chắn nếu có một triển khai tương đương cho các nền tảng khác, vì vậy với việc sử dụng nghiêm ngặt win32crypt, mã của bạn không thể mang theo được.

Tôi tin rằng mô-đun có thể được lấy ở đây: http://timgolden.me.uk/pywin32-docs/win32crypt.html

Một cách mà tôi đã làm điều này là như sau:

Tại vỏ trăn:

>>> from cryptography.fernet import Fernet
>>> key = Fernet.generate_key()
>>> print(key)
b'B8XBLJDiroM3N2nCBuUlzPL06AmfV4XkPJ5OKsPZbC4='
>>> cipher = Fernet(key)
>>> password = "thepassword".encode('utf-8')
>>> token = cipher.encrypt(password)
>>> print(token)
b'gAAAAABe_TUP82q1zMR9SZw1LpawRLHjgNLdUOmW31RApwASzeo4qWSZ52ZBYpSrb1kUeXNFoX0tyhe7kWuudNs2Iy7vUwaY7Q=='

Sau đó, tạo một mô-đun với mã sau:

from cryptography.fernet import Fernet

# you store the key and the token
key = b'B8XBLJDiroM3N2nCBuUlzPL06AmfV4XkPJ5OKsPZbC4='
token = b'gAAAAABe_TUP82q1zMR9SZw1LpawRLHjgNLdUOmW31RApwASzeo4qWSZ52ZBYpSrb1kUeXNFoX0tyhe7kWuudNs2Iy7vUwaY7Q=='

# create a cipher and decrypt when you need your password
cipher = Fernet(key)

mypassword = cipher.decrypt(token).decode('utf-8')

Khi bạn đã hoàn thành việc này, bạn có thể nhập trực tiếp mật khẩu hoặc bạn có thể nhập mã thông báo và mật mã để giải mã khi cần.

Rõ ràng, có một số thiếu sót đối với phương pháp này. Nếu ai đó có cả mã thông báo và khóa (như họ có nếu có tập lệnh), họ có thể giải mã dễ dàng. Tuy nhiên, nó làm xáo trộn và nếu bạn biên dịch mã (với một cái gì đó giống như Nuitka) thì ít nhất mật khẩu của bạn sẽ không xuất hiện dưới dạng văn bản thuần túy trong trình soạn thảo hex.

Điều này không trả lời chính xác câu hỏi của bạn, nhưng nó liên quan. Tôi sẽ thêm vào như một bình luận nhưng không được phép. Tôi đã xử lý vấn đề tương tự và chúng tôi đã quyết định tiết lộ tập lệnh cho người dùng sử dụng Jenkins. Điều này cho phép chúng tôi lưu trữ thông tin đăng nhập db trong một tệp riêng được mã hóa và bảo mật trên máy chủ và không thể truy cập đối với người không phải quản trị viên. Nó cũng cho phép chúng ta một chút phím tắt để tạo UI và thực thi điều tiết.

Bạn cũng có thể xem xét khả năng lưu trữ mật khẩu bên ngoài tập lệnh và cung cấp nó khi chạy

ví dụ: fred.py

import os
username = 'fred'
password = os.environ.get('PASSWORD', '')
print(username, password)

có thể chạy như thế nào

$ PASSWORD=password123 python fred.py
fred password123

Có thể đạt được các lớp "bảo mật thông qua che khuất" bằng cách sử dụng base64(như được đề xuất ở trên), sử dụng các tên ít rõ ràng hơn trong mã và phân tách mật khẩu thực tế từ mã.

Nếu mã nằm trong kho lưu trữ, việc lưu trữ bí mật bên ngoài nó thường rất hữu ích , vì vậy người ta có thể thêm mã này vào~/.bashrc (hoặc vào kho tiền hoặc tập lệnh khởi chạy, ...)

export SURNAME=cGFzc3dvcmQxMjM=

và thay đổi fred.py thành

import os
import base64
name = 'fred'
surname = base64.b64decode(os.environ.get('SURNAME', '')).decode('utf-8')
print(name, surname)

sau đó đăng nhập lại và

$ python fred.py
fred password123

Tại sao không có một xor đơn giản?

Ưu điểm:

• trông giống như dữ liệu nhị phân
• không ai có thể đọc nó mà không biết khóa (ngay cả khi đó là một char duy nhất)

Tôi đi đến điểm mà tôi nhận ra các chuỗi b64 đơn giản cho các từ phổ biến và rot13 là tốt. Xor sẽ làm cho nó khó hơn nhiều.

import base64
print(base64.b64encode("password".encode("utf-8")))
print(base64.b64decode(b'cGFzc3dvcmQ='.decode("utf-8")))

Có một số tiện ích ROT13 được viết bằng Python trên 'Net - chỉ cần google cho chúng. ROT13 mã hóa chuỗi ngoại tuyến, sao chép nó vào nguồn, giải mã tại điểm truyền.

Nhưng đây thực sự là sự bảo vệ yếu ...