Ho un sistema di distribuzione con un'interfaccia utente accessibile su Internet. Voglio renderlo più sicuro re rotolando periodicamente la password sull'API. C'è un modo sicuro in cui posso memorizzare la password localmente sul mio computer? Sono preoccupato per una persona brutale che impone la password all'interfaccia disponibile pubblicamente.
Se sei lo sviluppatore del sistema, è un modello insicuro. La password deve essere salata e sottoposta a hashing sul lato client, quindi eseguire nuovamente l'hashing con un nonce fornito dal server e quell'hash ha controllato sul server. La macchina client dovrebbe anche essere controllata prima di controllare la password. Se l'IP non è statico, può essere fatto con i certificati.
La password inserita dall'utente non deve essere usata come qualcosa di diverso da una password, non come una chiave (usa un KDF), non come una variabile d'ambiente, né memorizzata più a lungo di quanto impieghi per cancellarla. Altri segreti dovrebbero essere derivati in modo irreversibile da esso e da altri valori.
Se non sei lo sviluppatore e sei stato forzato in questo modello da un'applicazione, sembra che tu stia cercando un gestore di password di archiviazione locale come LastPass.
Bene - stai chiedendo dei problemi qui con la tua configurazione attuale. Perché hai un'interfaccia di distribuzione esposta al Web?
Devi aggiungere
Leggi altre domande sui tag api authentication passwords web-application