Có được coi là thực hành tốt để lưu trữ mật khẩu trong kho lưu trữ Github riêng tư không?

Question

Có được coi là thực tiễn tốt để lưu trữ mật khẩu trong kho lưu trữ riêng của Github riêng không?

[Liên quan đến, nhưng rất khác so với, this question]

Answer 1

Tôi muốn phá vỡ câu hỏi này thành hai phần:

• Có một thực hành tốt để lưu trữ mật khẩu trong kiểm soát nguồn? Không. Các thông tin đăng nhập không được phiên bản theo cùng một cách. Ví dụ: bạn có thể thay đổi mật khẩu của mình mà không cần phát hành bản dựng phần mềm mới.
• Thực tiễn tốt để lưu trữ mật khẩu trên đám mây? Đó là thực sự lên đến sự khoan dung của bạn cho an ninh và độ tin cậy. Trong trường hợp này, bạn đang thuê ngoài cả GitHub. Nếu GitHub mất dữ liệu của bạn, bạn có sao lưu ở nơi khác không? Nếu GitHub bị tấn công (ví dụ: repo riêng của bạn sẽ trở thành công khai) hoặc nếu chúng không phá hủy an toàn ổ đĩa cũ, tác động gì nếu một người không được ủy quyền có thông tin đăng nhập của bạn?

Ngoài ra, khi bạn lưu trữ thông tin xác thực, mã hóa và lưu trữ khóa ở nơi khác.

Answer 2

Đó chắc chắn không phải là 'thực hành tốt'.

Cho dù nó có thể chấp nhận được hay không phụ thuộc vào yêu cầu bảo mật của bạn. Đối với loại giải phóng mặt bằng SCI hoạt động, * * sẽ không hoạt động.

Để có dự án giải trí riêng tư, điều đó có thể là ok. Nhưng việc đặt các mật khẩu nhạy cảm vào bất cứ đâu trên đám mây có lẽ không phải là một ý tưởng hay.

Các dự án nghiêm túc về bảo mật thường không giữ mật khẩu thô trong tệp bảo mật của chúng.

Answer 3

Tôi không tin rằng thực tiễn tốt là lưu trữ mật khẩu ở bất kỳ nơi nào khác ngoài nơi hoàn toàn cần thiết. GitHub không tấn công tôi khi gặp những điều kiện như vậy.