什麼是存儲Windows服務的用戶名和密碼的最佳方式？

Question

什麼是存儲Windows服務的用戶名和密碼的最佳方式？

該服務必須能夠訪問遠程計算機上的MS SQL Server數據庫。我們必須支持MS SQL Server身份驗證（混合模式）而不是NT身份驗證。

Answer 1

DP API是在Windows上本地存儲敏感數據的標準方式。你沒有提到你正在使用的編程語言，但在.NET中，這是從System.Security.ProtectedData類中暴露出來的。

Answer 2

存儲用戶名的最佳方法是使用純文本。存儲密碼的最佳方式不是根本不存儲它，而只是存儲它的哈希值。當你收到一個登錄嘗試，你散列密碼並比較兩個散列。

雖然這是一個有點天真，因爲它容易受哈希表（維基百科彩虹表）。無論如何，這很容易避免，爲每個用戶儲存不同的鹽。 salt只是一個隨機數字或字符串，可以在散列之前連接到密碼。

所以當試圖登錄將是業務：

1. 搜索數據庫中的哈希，並與給定登錄鹽。
2. 將給定密碼與先前的鹽級聯。
3. 哈希連接的結果。
4. 將計算出的散列與數據庫1進行比較。如果他們匹配，授予訪問權限！

Answer 3

儘管我同意，理想情況下，您不需要存儲此密碼，但如果您這樣做，則無需自行哈希。 CryptProtectData。閱讀本文底部的警告。儘管如此，我實際上使用LsaStorePrivateData來存儲密碼。

Answer 4

假設.Net，你可以加密你的配置文件。見this。

Answer 5

沒有真正安全的方法來存儲您的Windows服務的用戶名和密碼，因此您使用的用於訪問SQL Server的帳戶必須具備必要的最低數據庫權限，這一點非常重要，做。

編輯：我不是說你不應該仍然加密的用戶名和密碼 - 你應該使用其他答案中提到的工具之一。

Answer 6

這取決於你的環境。

此服務是否在不安全的機器上運行？

我們的服務在我們的服務器機房內的服務器上運行，只有管理員才能訪問。

我們將像這樣的信息部署到配置文件中，因爲我們使用NT身份驗證來直接限制對這些文件的訪問。但是，運行服務的機器只是一臺服務器，而不是一臺用戶機器。

Answer 7

感謝您的答案迄今:)

最好的辦法似乎是使用，使用下面的類加密的用戶名和口令的配置文件：System.Security.Cryptography.ProtectedData

這裏有一個很好的背景解釋：Windows Data Protection