mvn --encrypt-master-password <пароль>: Хорошая практика для выбора <пароль>? Какой уровень конфиденциальности должен быть?

Я учусь использовать возможности шифрования пароля maven и хотел бы узнать, как выбрать параметр <password>, Есть две вещи, которые я не понимаю:

1) mvn --encrypt-master-password foobar всегда даст другое encrypted master password,

Так как encrypted master password всегда отличается, я вижу только две возможности:

  1. Местное свойство хранится где-то, так что его можно использовать для расшифровки encrypted master password чтобы получить master password, Это означает, что наш encrypted server passwords может использоваться только локально.
  2. Ничего не хранится и master password бесполезен и не имеет значения вообще.

Итак, мои вопросы здесь:

Что хранится локально? Будет мой master password оставаться в безопасности? Есть ли третья возможность, о которой я не думал?

2) На сайте maven написано:

Также обратите внимание, что зашифрованные пароли могут быть расшифрованы кем-то, у кого есть главный пароль и файл настроек безопасности. Храните этот файл в безопасности (или храните отдельно), если вы ожидаете, что файл settings.xml может быть получен.

Если settings security file что защищает, зачем мне выбирать надежный мастер-пароль? Разве я не могу просто использовать foobar и сохранить свой settings security file безопасный?

Кроме того, похоже, что кто-то с двумя файлами (settings security file а также settings file) не понадобится master password подключиться к серверам maven. Он мог использовать нашу личность, не зная паролей. master password "только" необходимо расшифровать servers passwords (чтобы получить их простой текст). Но опять же, защищая settings security file должен быть путь, и master password останется бесполезным.

Мои вопросы:

Насколько важен master password? Я должен помнить это? Могу ли я использовать длинную случайную фразу и забыть ее навсегда?

PS: я не мог найти свой ответ здесь.

Источник

1 ответ

Первый пароль используется только для генерации мастер-пароля, затем вы можете забыть его. Он генерируется с использованием механизмов шифрования и псевдослучайного компонента. Как следствие этого, не должно быть возможности расшифровать его. В вашем файле настроек безопасности локально не хранится ничего, кроме вашего главного пароля, и он больше никогда не будет запрашиваться или запрашиваться.

Этот мастер-пароль используется для шифрования и дешифрования паролей в вашем файле настроек. Он имеет то же значение, что и введенный пользователем пароль, но вывести его практически невозможно.

Затем:

  1. В вашем файле настроек безопасности локально не хранится ничего, кроме вашего главного пароля, и он больше никогда не будет запрашиваться или запрашиваться. Вся безопасность находится в безопасности файла настроек безопасности.

  2. Мастер-пароль не очень важен, и вы можете сразу забыть. Вы можете использовать все, что вы хотите.

Мне не нравится такой подход для защиты моего пароля, и я хотел бы иметь механизм шифрования реального пароля с реальным мастер-паролем, который не сохраняется. Публично-закрытый ключ со стратегиями паролей кажется лучше.

Источник
Другие вопросы по тегам