Giải nén mật khẩu đã lưu TortoiseSVN

Câu trả lời:

226

Câu trả lời ngắn gọn: Bạn có thể sử dụng TortoiseSVN Password Decrypter để dễ dàng hiển thị thông tin đăng nhập được lưu trong bộ nhớ cache của bạn, bao gồm cả mật khẩu.

Câu trả lời dài: Đây là cách công cụ hoạt động.

Thông tin đăng nhập được lưu trong thư mục con của %APPDATA%\Subversion\auth\. Được liệt kê từ câu trả lời trước này, chúng là:

  • svn.simple chứa thông tin xác thực cơ bản (tên người dùng / mật khẩu)
  • svn.ssl.server chứa chứng chỉ máy chủ SSL
  • svn.username chứa thông tin xác thực chỉ dành cho tên người dùng (không cần mật khẩu)

Thư mục đầu tiên là một trong những quan tâm. Nó dường như chứa các tệp có tên giống như GUID; một cho mỗi kho lưu trữ mà bạn đã lưu thông tin đăng nhập.

Mật khẩu trong các tệp này được mã hóa bởi API bảo vệ dữ liệu của Windows . Công cụ trên sử dụng mã mẫu từ Obviex để giao tiếp với API này và thực hiện giải mã.

Để nó hoạt động, bạn phải có quyền truy cập vào cùng một tài khoản người dùng Windows mà bạn đang sử dụng khi bạn đánh dấu vào hộp kiểm "Lưu xác thực". Điều này là do API bảo vệ dữ liệu của Windows sử dụng khóa mã hóa được liên kết với tài khoản Windows của bạn. Nếu bạn mất tài khoản này (hoặc, tôi tin rằng, nếu quản trị viên đặt lại mật khẩu của bạn) thì bạn sẽ không thể giải mã mật khẩu được nữa (ngoại trừ có thể bằng cách sử dụng brute force / một công cụ của bên thứ ba ). Có một tài khoản Windows mới với cùng tên người dùng / mật khẩu (hoặc thậm chí có thể là SID) là không đủ.

rkagerer
nguồn
8

Dựa trên thông tin bên dưới, có vẻ như bạn có thể giải mã cục bộ chúng theo một cách nào đó ...

CẬP NHẬT: Câu trả lời dứt khoát từ cộng đồng TortiseSVN

Khi chúng được mã hóa qua đường dây được mã hóa, chúng sẽ được mã hóa bằng cách bắt tay và / hoặc khóa đã thỏa thuận tại thời điểm kết nối.

Khi chúng được lưu trữ / đọc cục bộ, chúng được mã hóa / giải mã thông qua Windows Crypto API sử dụng khóa được liên kết với tài khoản Windows của bạn.

Máy chủ không thể giải mã bản sao được mã hóa cục bộ vì các khóa là cục bộ trong tài khoản của bạn.

Vì vậy, khi bạn kết nối (giả sử qua HTTPS), ứng dụng khách của bạn sẽ nhận được thông tin xác thực được giải mã thông qua API Windows thích hợp, sau đó đưa chúng vào quá trình truyền HTTPS. HTTPS mã hóa toàn bộ giao tiếp giữa máy khách và máy chủ bằng chứng chỉ SSL, không chỉ bằng thông tin xác thực.

Aaron McIver
nguồn
bạn có chắc rằng mật khẩu không được giải mã ở phần cuối máy khách không?
Jus12
Khá chắc chắn ... mà không cần đăng một câu hỏi rõ ràng để các folks TortiseSVN, đây là những gì tôi thấy ... tortoisesvn.net/docs/release/TortoiseSVN_en/... Ngoài ra nếu nó được giải mã phía khách hàng, sau đó đẩy hơn trong văn bản đơn giản để máy chủ nó sẽ đánh bại mục đích. Tôi đoán bạn có thể gửi nó qua SSH.
Aaron McIver 7/10/10
nhưng sau đó, bất kỳ ai cũng có thể gửi bản mã đến máy chủ một cách hiệu quả và rùaSVN không cung cấp bất kỳ bảo mật bổ sung nào bằng mã hóa.
Jus 12
Đúng, đó là lý do tại sao họ biết xóa dữ liệu xác thực khỏi PC của bạn khi tắt máy hoặc ít nhất là theo cách định kỳ nếu đó là mối quan tâm. Nếu máy giữ dữ liệu xác thực đã bị xâm phạm thì đó thực sự không phải là vấn đề của TotoriseSVN.
Aaron McIver 7/10/10
Cảm ơn vì công việc. Tôi đã hy vọng đã có một công cụ cho điều đó.
12
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.