Python でのユーザー資格情報の保護

Python では、ユーザー名やパスワードなどの機密情報を保存するには慎重な考慮が必要です。サードパーティ サービスからデータを定期的に取得するなどのタスクをスクリプト化する場合、データ プライバシーを損なうことなく認証情報を保存するための信頼性が高く安全な方法が必要です。

1 つのオプションは、オペレーティング システムの暗号化と統合された Python キーリング ライブラリを利用することです。メカニズム。 Windows では、キーリングは CryptProtectData API を採用し、ユーザーのログオン資格情報によるデータ暗号化を保証します。

キーリングを使用するには、アプリケーションのサービス名前空間を確立し、資格情報をキーと値のペアとして保存するだけです:

import keyring

service_id = 'IM_YOUR_APP!'
keyring.set_password(service_id, 'dustin', 'my secret password')

キーリングはユーザーの資格情報を使用して情報を安全に暗号化するため、権限のない当事者はパスワードを回復するためにユーザーのオペレーティング システムにアクセスする必要があります。ただし、パスワードをキーリングに保存する前にアプリケーション内でパスワードを暗号化または難読化することで、セキュリティを強化できます。これによって、決意の強い攻撃者がパスワードにアクセスすることを防ぐことはできませんが、難易度が高まり、不用意な開示の可能性が低くなります。