Menyembunyikan kata sandi dalam skrip python (hanya kebingungan yang tidak aman)

Saya sudah mendapatkan skrip python yang sedang membuat koneksi ODBC. Koneksi ODBC dihasilkan dengan string koneksi. Dalam string koneksi ini saya harus memasukkan nama pengguna dan kata sandi untuk koneksi ini.

Apakah ada cara mudah untuk mengaburkan kata sandi ini di file (hanya saja tidak ada yang bisa membaca kata sandi saat saya mengedit file)?

Pengkodean Base64 ada di perpustakaan standar dan akan dilakukan untuk menghentikan peselancar bahu:

>>> import base64
>>>  print(base64.b64encode("password".encode("utf-8")))
cGFzc3dvcmQ=
>>> print(base64.b64decode("cGFzc3dvcmQ=").decode("utf-8"))
password

Douglas F Shearer's adalah solusi yang disetujui secara umum di Unix ketika Anda perlu menentukan kata sandi untuk login jarak jauh.
Anda menambahkan opsi --password-from-file untuk menentukan path dan membaca plaintext dari file.
File kemudian dapat berada di area pengguna sendiri yang dilindungi oleh sistem operasi. Ini juga memungkinkan pengguna yang berbeda untuk secara otomatis mengambil file mereka sendiri.

Untuk kata sandi yang tidak boleh diketahui pengguna skrip - Anda dapat menjalankan skrip dengan izin yang telah dihapus dan memiliki file kata sandi yang dimiliki oleh pengguna root / admin tersebut.

Ini adalah metode sederhana:

1. Buat modul python - sebut saja peekaboo.py.
2. Di peekaboo.py, masukkan kata sandi dan kode apa pun yang membutuhkan kata sandi itu
3. Buat versi yang dikompilasi - peekaboo.pyc - dengan mengimpor modul ini (via python commandline, dll ...).
4. Sekarang, hapus peekaboo.py.
5. Anda sekarang dapat dengan senang hati mengimpor peekaboo hanya dengan mengandalkan peekaboo.pyc. Karena peekaboo.pyc dikompilasi dengan byte, itu tidak dapat dibaca oleh pengguna biasa.

Ini harus sedikit lebih aman daripada decoding base64 - meskipun rentan terhadap dekompiler py_to_pyc.

Jika Anda bekerja pada sistem Unix, manfaatkan modul netrc di pustaka Python standar. Bunyinya kata sandi dari file teks terpisah (.netrc), yang formatnya diuraikan di sini .

Berikut adalah contoh penggunaan kecil:

import netrc

# Define which host in the .netrc file to use
HOST = 'mailcluster.loopia.se'

# Read from the .netrc file in your home directory
secrets = netrc.netrc()
username, account, password = secrets.authenticators( HOST )

print username, password

Solusi terbaik, dengan asumsi nama pengguna dan kata sandi tidak dapat diberikan pada saat runtime oleh pengguna, mungkin merupakan file sumber terpisah yang hanya berisi inisialisasi variabel untuk nama pengguna dan kata sandi yang diimpor ke kode utama Anda. File ini hanya perlu diedit ketika kredensial berubah. Jika tidak, jika Anda hanya mengkhawatirkan peselancar bahu dengan memori rata-rata, pengkodean basis 64 mungkin merupakan solusi termudah. ROT13 terlalu mudah untuk didekode secara manual, tidak peka huruf besar-kecil dan mempertahankan terlalu banyak makna dalam keadaan terenkripsi. Enkode kata sandi dan ID pengguna Anda di luar skrip python. Apakah dia skrip decode saat runtime untuk digunakan.

Memberikan kredensial skrip untuk tugas otomatis selalu merupakan proposal yang berisiko. Skrip Anda harus memiliki kredensial sendiri dan akun yang digunakannya tidak boleh memiliki akses selain dari apa yang diperlukan. Setidaknya kata sandi harus panjang dan agak acak.

Bagaimana dengan mengimpor nama pengguna dan kata sandi dari file eksternal ke skrip? Dengan begitu, bahkan jika seseorang memegang skrip, mereka tidak akan secara otomatis mendapatkan kata sandi.

base64 adalah cara untuk memenuhi kebutuhan sederhana Anda. Tidak perlu mengimpor apa pun:

>>> 'your string'.encode('base64')
'eW91ciBzdHJpbmc=\n'
>>> _.decode('base64')
'your string'

untuk kebingungan menggunakan python3base64 dilakukan secara berbeda:

import base64
base64.b64encode(b'PasswordStringAsStreamOfBytes')

yang mengakibatkan

b'UGFzc3dvcmRTdHJpbmdBc1N0cmVhbU9mQnl0ZXM='

perhatikan representasi string informal, string aktual dalam tanda kutip

dan decoding kembali ke string asli

base64.b64decode(b'UGFzc3dvcmRTdHJpbmdBc1N0cmVhbU9mQnl0ZXM=')
b'PasswordStringAsStreamOfBytes'

untuk menggunakan hasil ini di mana objek string diperlukan, objek byte dapat diterjemahkan

repr = base64.b64decode(b'UGFzc3dvcmRTdHJpbmdBc1N0cmVhbU9mQnl0ZXM=')
secret = repr.decode('utf-8')
print(secret)

untuk informasi lebih lanjut tentang bagaimana python3 menangani byte (dan string yang sesuai) silakan lihat dokumentasi resmi .

Ini adalah masalah yang cukup umum. Biasanya yang terbaik yang dapat Anda lakukan adalah melakukannya

A) membuat semacam fungsi cipher ceasar untuk menyandikan / mendekode (tidak rot13) atau

B) metode yang disukai adalah menggunakan kunci enkripsi, dalam jangkauan program Anda, meng-encode / mendekodekan kata sandi. Di mana Anda dapat menggunakan perlindungan file untuk melindungi akses kunci.

Sejalan dengan itu jika aplikasi Anda berjalan sebagai service / daemon (seperti server web), Anda dapat memasukkan kunci ke dalam keystore yang dilindungi kata sandi dengan input kata sandi sebagai bagian dari startup layanan. Diperlukan admin untuk memulai kembali aplikasi Anda, tetapi Anda akan mendapatkan pretection yang sangat bagus untuk kata sandi konfigurasi Anda.

Sistem operasi Anda mungkin menyediakan fasilitas untuk mengenkripsi data dengan aman. Misalnya, pada Windows ada DPAPI (API perlindungan data). Mengapa tidak meminta kredensial mereka kepada pengguna pada saat pertama kali Anda menjalankan kemudian membuat mereka dienkripsi untuk proses selanjutnya?

Lebih banyak appraoch buatan sendiri daripada mengonversi otentikasi / kata sandi / nama pengguna menjadi detail terenkripsi. FTPLIB hanyalah contohnya. " pass.csv " adalah nama file csv

Simpan kata sandi dalam CSV seperti di bawah ini:

nama pengguna

kata sandi pengguna

(Tanpa judul kolom)

Baca CSV dan simpan ke daftar.

Menggunakan daftar elemen sebagai detail authetntication.

Kode lengkap.

import os
import ftplib
import csv 
cred_detail = []
os.chdir("Folder where the csv file is stored")
for row in csv.reader(open("pass.csv","rb")):       
        cred_detail.append(row)
ftp = ftplib.FTP('server_name',cred_detail[0][0],cred_detail[1][0])

Ini cuplikan saya untuk hal semacam itu. Anda pada dasarnya mengimpor atau menyalin fungsi ke kode Anda. getCredentials akan membuat file terenkripsi jika tidak ada dan mengembalikan kamus, dan updateCredential akan memperbarui.

import os

def getCredentials():
    import base64

    splitter='<PC+,DFS/-SHQ.R'
    directory='C:\\PCT'

    if not os.path.exists(directory):
        os.makedirs(directory)

    try:
        with open(directory+'\\Credentials.txt', 'r') as file:
            cred = file.read()
            file.close()
    except:
        print('I could not file the credentials file. \nSo I dont keep asking you for your email and password everytime you run me, I will be saving an encrypted file at {}.\n'.format(directory))

        lanid = base64.b64encode(bytes(input('   LanID: '), encoding='utf-8')).decode('utf-8')  
        email = base64.b64encode(bytes(input('   eMail: '), encoding='utf-8')).decode('utf-8')
        password = base64.b64encode(bytes(input('   PassW: '), encoding='utf-8')).decode('utf-8')
        cred = lanid+splitter+email+splitter+password
        with open(directory+'\\Credentials.txt','w+') as file:
            file.write(cred)
            file.close()

    return {'lanid':base64.b64decode(bytes(cred.split(splitter)[0], encoding='utf-8')).decode('utf-8'),
            'email':base64.b64decode(bytes(cred.split(splitter)[1], encoding='utf-8')).decode('utf-8'),
            'password':base64.b64decode(bytes(cred.split(splitter)[2], encoding='utf-8')).decode('utf-8')}

def updateCredentials():
    import base64

    splitter='<PC+,DFS/-SHQ.R'
    directory='C:\\PCT'

    if not os.path.exists(directory):
        os.makedirs(directory)

    print('I will be saving an encrypted file at {}.\n'.format(directory))

    lanid = base64.b64encode(bytes(input('   LanID: '), encoding='utf-8')).decode('utf-8')  
    email = base64.b64encode(bytes(input('   eMail: '), encoding='utf-8')).decode('utf-8')
    password = base64.b64encode(bytes(input('   PassW: '), encoding='utf-8')).decode('utf-8')
    cred = lanid+splitter+email+splitter+password
    with open(directory+'\\Credentials.txt','w+') as file:
        file.write(cred)
        file.close()

cred = getCredentials()

updateCredentials()

Tempatkan informasi konfigurasi dalam file konfigurasi terenkripsi. Permintaan informasi ini dalam kode Anda menggunakan kunci. Tempatkan kunci ini dalam file terpisah per lingkungan, dan jangan menyimpannya dengan kode Anda.

Apakah Anda tahu lubang?

https://pypi.python.org/pypi/pit (hanya py2 (versi 0.3))

https://github.com/yoshiori/pit (ini akan bekerja pada py3 (versi saat ini 0.4))

test.py

from pit import Pit

config = Pit.get('section-name', {'require': {
    'username': 'DEFAULT STRING',
    'password': 'DEFAULT STRING',
    }})
print(config)

Lari:

$ python test.py
{'password': 'my-password', 'username': 'my-name'}

~ / .pit / default.yml:

section-name:
  password: my-password
  username: my-name

Jika berjalan pada Windows, Anda dapat mempertimbangkan menggunakan pustaka win32crypt. Ini memungkinkan penyimpanan dan pengambilan data yang dilindungi (kunci, kata sandi) oleh pengguna yang menjalankan skrip, sehingga kata sandi tidak pernah disimpan dalam teks yang jelas atau format yang dikaburkan dalam kode Anda. Saya tidak yakin apakah ada implementasi yang setara untuk platform lain, jadi dengan penggunaan win32crypt yang ketat, kode Anda tidak portabel.

Saya percaya modul dapat diperoleh di sini: http://timgolden.me.uk/pywin32-docs/win32crypt.html

Cara yang telah saya lakukan ini adalah sebagai berikut:

Di shell python:

>>> from cryptography.fernet import Fernet
>>> key = Fernet.generate_key()
>>> print(key)
b'B8XBLJDiroM3N2nCBuUlzPL06AmfV4XkPJ5OKsPZbC4='
>>> cipher = Fernet(key)
>>> password = "thepassword".encode('utf-8')
>>> token = cipher.encrypt(password)
>>> print(token)
b'gAAAAABe_TUP82q1zMR9SZw1LpawRLHjgNLdUOmW31RApwASzeo4qWSZ52ZBYpSrb1kUeXNFoX0tyhe7kWuudNs2Iy7vUwaY7Q=='

Kemudian, buat modul dengan kode berikut:

from cryptography.fernet import Fernet

# you store the key and the token
key = b'B8XBLJDiroM3N2nCBuUlzPL06AmfV4XkPJ5OKsPZbC4='
token = b'gAAAAABe_TUP82q1zMR9SZw1LpawRLHjgNLdUOmW31RApwASzeo4qWSZ52ZBYpSrb1kUeXNFoX0tyhe7kWuudNs2Iy7vUwaY7Q=='

# create a cipher and decrypt when you need your password
cipher = Fernet(key)

mypassword = cipher.decrypt(token).decode('utf-8')

Setelah melakukan ini, Anda dapat mengimpor kata sandi langsung atau Anda dapat mengimpor token dan sandi untuk mendekripsi sesuai kebutuhan.

Jelas, ada beberapa kekurangan dalam pendekatan ini. Jika seseorang memiliki token dan kunci (seperti yang mereka lakukan jika mereka memiliki skrip), mereka dapat mendekripsi dengan mudah. Namun itu mengaburkan, dan jika Anda mengkompilasi kode (dengan sesuatu seperti Nuitka) setidaknya kata sandi Anda tidak akan muncul sebagai teks biasa di hex editor.

Ini tidak tepat menjawab pertanyaan Anda, tetapi terkait. Saya akan menambahkan sebagai komentar tetapi tidak diizinkan. Saya telah menangani masalah yang sama ini, dan kami telah memutuskan untuk mengekspos skrip tersebut kepada pengguna yang menggunakan Jenkins. Ini memungkinkan kami untuk menyimpan kredensial db dalam file terpisah yang dienkripsi dan diamankan di server dan tidak dapat diakses oleh non-admin. Ini juga memungkinkan kita sedikit jalan pintas untuk membuat UI, dan mempercepat eksekusi.

Anda juga dapat mempertimbangkan kemungkinan menyimpan kata sandi di luar skrip, dan memasoknya saat runtime

mis. fred.py

import os
username = 'fred'
password = os.environ.get('PASSWORD', '')
print(username, password)

yang bisa dijalankan seperti

$ PASSWORD=password123 python fred.py
fred password123

Lapisan tambahan "keamanan melalui ketidakjelasan" dapat dicapai dengan menggunakan base64(seperti yang disarankan di atas), menggunakan nama yang kurang jelas dalam kode dan lebih jauh menjauhkan kata sandi yang sebenarnya dari kode.

Jika kode ada di repositori, seringkali berguna untuk menyimpan rahasia di luarnya , sehingga orang dapat menambahkan ini ke ~/.bashrc(atau ke lemari besi, atau skrip peluncuran, ...)

export SURNAME=cGFzc3dvcmQxMjM=

dan ubah fred.pyke

import os
import base64
name = 'fred'
surname = base64.b64decode(os.environ.get('SURNAME', '')).decode('utf-8')
print(name, surname)

lalu masuk kembali dan

$ python fred.py
fred password123

Mengapa tidak memiliki xor sederhana?

Keuntungan:

• terlihat seperti data biner
• tidak ada yang bisa membacanya tanpa mengetahui kuncinya (meskipun hanya satu karakter)

Saya sampai pada titik di mana saya mengenali string b64 sederhana untuk kata-kata umum dan rot13 juga. Xor akan membuatnya jauh lebih sulit.

import base64
print(base64.b64encode("password".encode("utf-8")))
print(base64.b64decode(b'cGFzc3dvcmQ='.decode("utf-8")))

Ada beberapa utilitas ROT13 yang ditulis dengan Python di 'Net - hanya google untuk mereka. ROT13 menyandikan string secara offline, menyalinnya ke sumber, mendekode pada titik transmisi.

Tapi ini benar - benar perlindungan yang lemah ...