汽车信息安全要求（7）——密码管理（password management）

汽车电子小张

已于 2022-09-08 17:53:15 修改

阅读量802

点赞数

CC 4.0 BY-SA版权

分类专栏：汽车电子信息安全文章标签：汽车网络安全 mcu 嵌入式硬件

于 2022-09-08 17:51:40 首次发布

本文链接：https://blog.youkuaiyun.com/daniel315/article/details/126769265

汽车电子信息安全专栏收录该内容

7 篇文章 ¥29.90 ¥99.00

订阅专栏

超级会员免费看

1. 密码的一致性

密码的长度至少为12(12)个字符。高度敏感的密码应该有最小长度20个字符。

密码应该包括小写字母和大写字母，以及一个数字和特殊字符，如!"" # $ % & ' () * +， - . "/:;< = > ?@ [\] ^ {|} ~

所有服务、用户或软件的默认密码应立即更改。

2. 密码的强力破解

应实施防止暴力猜密码的机制。这种预防机制不应被软件的重刷而意外重置。

例如，连续5次登录失败后，锁定日志机制5分钟。如果用户继续在另外5分钟内登录失败，该机制将被再次锁定，以指数级增长等待时间。

3. 密码存储

密码应存储在组件可以使用的最安全的环境中，例如在HSM或TEE中。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

汽车电子小张

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

信息安全领域的个人防护指南——密码管理、网络攻防、操作系统、反病毒软件等

AI天才研究院

08-06

2077

2020年是信息安全行业的元年，数字化进程不断推进，各种攻击手段层出不穷，相关部门对个人信息安全保障的高度重视也正在得到提升。越来越多的人把注意力从传统安全保障转移到新的网络安全防护上来。本文将从个人防护角度，分享一些对个人信息安全进行全方位防护的知识和技巧。密码管理(Password Management)是指保管、管理、使用、共享用户账号和密码，确保用户信息安全的一项重要环节。可以帮助保护个人信息免受各种恶意攻击，促进网络安全运营，提高信息安全水平。

Java代码高风险弱点与修复之——弱密码哈希漏洞-Very weak password hashing (WEAK_PASSWORD_HASH)

oscar999的专栏

06-29

641

在安全性方面，此代码的一个主要问题在于，它依赖于使用SHA-256哈希函数直接处理密码以产生密钥。弱密码哈希漏洞指的是在密码存储和验证过程中，由于使用了不安全的哈希算法或哈希函数的错误使用，导致攻击者能够更容易地破解或绕过密码验证机制。以上代码结合了安全的随机盐值、密钥衍生函数和迭代次数等多个安全机制，大大提升了密码到密钥转换过程的安全性。这意味着相同的密码将始终生成相同的密钥，降低了安全性。：若用户选择的密码复杂度不高，如普通单词或常见短语，即使经过SHA-256哈希，生成的密钥也容易遭受彩虹表攻击。

参与评论您还未登录，请先登录后发表或查看评论

password management

05-16

有没有相国如何管理密码？都应该从什么角度考虑，抛砖引玉一下

Password management

weixin_30274627的博客

08-31

654

MySQL Passwords in ProxySQL ProxySQL是一个感知协议代理 ProxySQL是根据流量负载来路由连接的，所以连接到ProxySQL的客户端是不能通过目的主机组的认证的，因此ProxySQL需要对客户端进行验证所以，ProxySQL需要和用户密码相关的信息：足够通过认证的信息 ProxySQL还需要与后端建立连接的信息，来对当前的连接做chang...

Password Management: Hardcoded Password

Misssyou的博客

01-15

6090

1、摘要硬编码密码可能会以一种不易补救的方式危害系统安全。 2、解释硬编码密码从来不是个好主意。不仅硬编码的密码允许所有项目的开发人员查看密码，它也使得解决问题极其困难。代码投入生产后，如果不修补软件，就无法更改密码。如果受密码保护的帐户受到损害，则系统所有者必须在安全性和可用性之间进行选择。 3、例 1. DriverManager.getConnection(url, "scot...

安全密码管理（信息安全）

03-09

在使用电脑的过程中，我们无时无刻不在与密码打交道。如果自己设置的密码被别人猜到或破译，那么则会重要资料、个人隐私被泄露。因此安全密码的管理是与每个人都相关的一件大事。本专题中将用实例介绍如何安全密码的创建、管理和破解。

Management password & resource

xiangtan的博客

12-18

270

1.profile 1>.failed_login_attempts 2>.password_lock_time 3>.password_lift_time 4>.password_grace_time 5>.password_reuse_time 6>.password_reuse_max 7>.password_verify_function 8...

【信息收集】——3、信息收集指南

热门推荐

Fly_鹏程万里

02-26

4万+

无意中发现了一个巨牛巨牛的人工智能教程，忍不住分享一下给大家。教程不仅是零基础，通俗易懂，小白也能学，而且非常风趣幽默，还时不时有内涵段子，像看小说一样，哈哈～我正在学习中，觉得太牛了，所以分享给大家。点这里可以跳转到教程！前言本系列文章只做技术研究与分享，如有恶意利用文章中提及的技术做网络攻击，造成的法律责任，作者概不负责！安全问题的本质安全问题的本质是“信...

【漏洞挖掘】——68、GoogleHacking信息泄露

Fly_鹏程万里

06-11

293

通过借助Google搜索语法捕获大量与目标网站相关的敏感信息（各种类型文件、特殊功能模块等），之后进行深入利用。搜素指定网站的相关文档（Excel、PDF、PPT）搜索开放远程桌面的WEB连接的服务器。搜索指定网站的Google快照。查询存在SQL注入漏洞的网站。搜素指定网站的管理员入口。收集Discuz论坛主机。搜索网站的公共FTP用户。

Password management in Django 密码管理，记忆线索

没事写写博客的专栏

04-03

1237

Password management in Django Password management is something that should generally not be reinvented unnecessarily, and Django endeavors to provide a secure and flexible set of tools for managing

java开发安全之：Password Management: Hardcoded Password

irizhao的专栏

01-20

2134

WebSphere 以及其他一些应用服务器通常都只提供过期的且相对较弱的加密机制，这对于对安全性要求较高的环境来说是远远不够的。因此，凭证可以存储在加密的数据库中。在系统中的任何位置采用明文的形式存储密码，会造成任何有足够权限的人均可读取和无意中误用密码。更糟的是，如果攻击者能够访问应用程序的字节代码，那么他们就可以利用 javap -c 命令访问已经过反汇编的代码，而这些代码中恰恰包含用户使用过的密码值。... 与Example 1 类似，该代码可以正常运行，但是有权访问此代码的任何人都可以获得此密码。

汽车网络安全--对称加密算法工作模式

认真搞搞汽车MCU

04-11

1529

对称加密算法工作模式

嵌入式工程师必学（10）：有哪些常用的安全算法？

码农17年的博客

11-16

6959

关于安全算法分为对称和非对称，涉及加密、解密、认证、访问控制等。比如最近比较热的汽车电子的OTA功能，就需要通过加密的方式实现，保证云端和MCU才能解密。对称算法包括：DES、AES等，如AES-128（ECB、CBC）、AES-256、DES-32、DES-128 非对称算法包括：RSA、ECC等，如RSA-1024、RSA2048、ECC-133、ECC-256、ECIES、RSAOAEP、校验算法包括：CRC、Hash（SHA1-3、256、）、RSAsig.或ECCsig，非对称

Password Management:Password in Configuration File（密码在配置文件中）解决方案

yangzhouren_hf的博客

06-01

1万+

注：框架是Struts2+Spring+ibatis 漏洞代码 jdbc.url=jdbc:db2://172.17.33.118:50000/qjxt jdbc.driverClassName=com.ibm.db2.jcc.DB2Driver jdbc.username=db2admin jdbc.password=db2admin 漏洞说明在配置文件中存储明文

Oracle密码管理（Password Management使用utlpwdmg.sql）

kikiwhq的专栏

02-21

2814

摘自：http://blog.chinaunix.net/uid-20779720-id-2547722.html Oracle密码管理（Password Management使用utlpwdmg.sql）使用脚本utlpwdmg.sql可以方便地启动数据库的密码管理。该脚本位于$ORACLE_HOME/rdbms/admin目录下。启动密码管理以前： SQL>s...

fortify——password Management

chdyiboke的博客

04-16

3484

对于密码问题，有些password 不能用明文，存在安全隐患。 1.数据库链接：修改密码后，需要修改xml和Java代码 2.常量里面包含关键字password ，修改、重构一下就OK 3.前端js、jsp 里面,对于密码不显示，可以在input里面加一个属性：autocomplete="off"

java调用周立功USBCAN SDK读取汽车总线数据

小眼哥的博客

07-22

310

zlgcan

【世纪龙科技】电动汽车原理与构造-汽车专业数字课程资源

最新发布

2501_90378375的博客

07-22

217

当前，新能源汽车技术迭代加速，职业院校亟需与时俱进的教学载体。《电动汽车原理与构造》数字课程资源以扎实的内容架构和灵活的应用模式，成为教师授课的“得力助手”和学生技能提升的“隐形阶梯”。

【世纪龙科技】数字课程资源-新能源汽车概论

2501_90378375的博客

07-21

305

程为通过项目任务式教学，全面系统的讲解了新能源汽车的基础知识及相关技能，培养和提高学生的动手能力和理论知识的工程应用能力。以典型工作任务带动知识与技能的学习，采用项目教学培养学生的岗位技能、学习能力和职业素养。

windterm怎么管理密码

01-17

### WindTerm 中会话密码的配置与管理在WindTerm中，为了安全性和便捷性的考虑，密码并不是跟随每一个会话单独创建而是通过集中方式来管理。这意味着所有的密码设置都将在一个地方完成——即OneKey功能模块内，在这里可以统一配置所需的各种认证凭证信息[^4]。对于希望保存会话密码的情况，在软件启动初期可能需要先调整一些基本选项。例如MobaXterm中的类似操作是在`setting --> General-->Mobaxterm password management-->Save sessions passwords`里设定为总是保存；不过针对WindTerm而言，则需编辑安装路径下的特定文件： - 找到并打开位于安装目录 `/profiles/default.v10/user.config` 的配置文件， - 删除其中有关 `application.fingerprint` 和 `application.masterPassword` 的记录行， - 完成上述更改之后记得保存所做的改动，并重新启动应用程序使新参数生效[^2]。当涉及到实际应用层面时，如果想要某个具体的SSH/SFTP等类型的连接能够自动填充已储存好的登录凭据（如用户名和密码），那么应该按照下面的方法来进行关联绑定： 1. 在主界面左侧栏目的“Session Manager”部分找到目标会话条目； 2. 右键点击该条目选择属性或者直接双击进入详情页； 3. 转至Authentication标签下勾选Use OneKey option, 并从下拉列表挑选之前已经录入过的密钥组合； 4. 应用这些变更后即可实现无感化快速接入远程主机资源而无需再次手动输入敏感数据。 ```bash # 示例：假设已经在OneKey中添加了一个名为example_key的身份验证项 ssh user@remote_host -i ~/.windterm/keys/example_key ```