如何从自定义凭据提供程序中的更改密码场景中获取新密码
Posted
技术标签:
【中文标题】如何从自定义凭据提供程序中的更改密码场景中获取新密码【英文标题】:How to get new password from change password scenario in custom credential provider 【发布时间】:2015-08-15 12:11:58 【问题描述】:我正在做一个自定义包装的凭据提供程序。在那我需要从更改密码场景中获取“新密码”字段字符串。据我所知,在用户从更改密码场景提交后,我的凭据提供程序中的 GetSerialization 函数被调用,我应该能够获取用户提交的字段的值。但我不知道如何获得它。我经历了整个谷歌和堆栈溢出,但无法得到我需要的东西。任何帮助将不胜感激。
HRESULT CSampleCredential::GetSerialization(
CREDENTIAL_PROVIDER_GET_SERIALIZATION_RESPONSE* pcpgsr,
CREDENTIAL_PROVIDER_CREDENTIAL_SERIALIZATION* pcpcs,
PWSTR* ppwszOptionalStatusText,
CREDENTIAL_PROVIDER_STATUS_ICON* pcpsiOptionalStatusIcon
)
HRESULT hr = E_UNEXPECTED;
if (_pWrappedCredential != NULL)
hr = _pWrappedCredential->GetSerialization(pcpgsr, pcpcs, ppwszOptionalStatusText, pcpsiOptionalStatusIcon);
logger->log(NORMAL,L"****************GetSerialisation**************\n");
return hr;
每当用户提交登录/解锁表单或更改密码表单时,我都会收到日志“*******Get Serialization******”。应该有某种方法可以获取字段的值(我对新密码字段感兴趣)。要么应该有一些字段 id(到目前为止我找不到),我可以使用它访问这些值,或者这些值应该存储在某个缓冲区中,我应该访问并获取值或其他类似的东西。
【问题讨论】:
您能否提供一个简短的代码示例来说明您迄今为止所尝试的内容?也许添加更广泛使用的标签(作为您正在使用的编程语言的标签)。 credential-providers 本身就是一个非常狭窄的话题。 【参考方案1】:包装后的凭据将新密码序列化为 CREDENTIAL_PROVIDER_CREDENTIAL_SERIALIZATION 结构,准备好返回给 Winlogon 以呈现给 LSA。您可以使用 CredUnPackAuthenticationBuffer 函数反序列化此结构 - 这将显示新密码是什么。
【讨论】:
我从哪里获得序列化的凭据?.. 在 GetSerialization() 函数中? 是的,一旦对包装凭证的 GetSerialiation 的调用返回,它们应该在 pcpcs 指向的结构中。 我正在开发一个 V1 Cred Provider,目的是在 Pwd Change 场景中确定新密码。 (VS 2013,在 WIn 8.1 64-bit 上测试),即使密码更改成功,使用 pcpcs->rgbSerialization 作为身份验证缓冲区调用 CredUnPackAuthenticationBuffer () 会返回“不支持请求(身份验证缓冲区是不是受支持的类型”。【参考方案2】:如果它将来对任何人有帮助;这就是我的做法。这是我想出的解决方案,其中包含来自我工作的 V1(不是 V2)包装凭据提供程序(CP)的适当代码 sn-ps - 在 64 位 Windows 7 和 8.1 上进行了测试。 (虽然不能保证它适用于 Windows 7 和 8 的所有安装)。使用 VS 2013 和 VS 2010 成功构建代码。
这是在更改密码(CTRL-ALT-DEL)场景中确定新密码输入的一种稍微不正统的方法。但是,由于我的客户想要跟踪和检查新密码的复杂性,当用户输入/键入它时,它对我来说非常有效 - 但仅限于 Windows 7 和 8/8.1;而不是在 Windows 10 上 - 这恰好是为其实施自定义“更改密码”凭据提供程序的一场噩梦。
我这样做的方式是: a) 检查 CredentialProvider.cpp 中 SetUsageScenario() 中的“cpus”变量是否等于 CPUS_CHANGE_PASSWORD,如果是,则将全局布尔标志设置为 TRUE。
b) 然后,这是关键部分,在函数 SetStringValue() 中,我使用 fieldID(对于所有标准 Windows 7/8 都相同)跟踪新密码字段中输入的每个字符MS 提供的安装和默认 CP) - 像这样:
CSampleCredential::SetStringValue(
DWORD dwFieldID,
PCWSTR pwz
)
string strCurrentFieldData = ws2s(pwz);// this contains the current data , as typed by the user. SO, as the user keeps typing the password, this field will get longer and longer. Perfect!
FILE_LOG(logINFO) << "in SetStringValue() FieldID = " << dwFieldID << " Field value = " << strCurrentFieldData.c_str() ;
eWinVersion ver;
char szVer[64] = "" ;
WCHAR wszFullVersion[255] = L"" ;
bool bSuccess = GetOSVersionString(wszFullVersion, 255, ver, szVer, 64);
if (bSuccess)
if (ver == VER_WIN8 || ver == VER_WIN81 )
switch (dwFieldID)
case PFID_OLDPWD: csOldPassword = strCurrentFieldData;
break;
case PFID_NEWPWD: csNewPassword = strCurrentFieldData;
break;
case PFID_NEWPWDCONF: csNewPasswordConfirmation = strCurrentFieldData;
break;
default:
break;
else
if (ver == VER_WIN7)
switch (dwFieldID)
case PFID_OLDPWD+1: csOldPassword = strCurrentFieldData;
break;
case PFID_NEWPWD+1: csNewPassword = strCurrentFieldData;
break;
case PFID_NEWPWDCONF+1: csNewPasswordConfirmation = strCurrentFieldData;
break;
default:
break;
// and so on...
c) 然后,最后在 Get CSampleCredential::Serialization() 中,我检查了密码的复杂性并酌情返回了正确的 CP 值 - 如下:
//
// Collect the username and password into a serialized credential for the correct usage scenario
// (logon/unlock is what's demonstrated in this sample). LogonUI then passes these credentials
// back to the system to log on.
//
HRESULT CSampleCredential::GetSerialization(
CREDENTIAL_PROVIDER_GET_SERIALIZATION_RESPONSE* pcpgsr,
CREDENTIAL_PROVIDER_CREDENTIAL_SERIALIZATION* pcpcs,
PWSTR* ppwszOptionalStatusText,
CREDENTIAL_PROVIDER_STATUS_ICON* pcpsiOptionalStatusIcon
)
FILE_LOG(logINFO) << "In CSampleCredential::GetSerialization";
HRESULT hr = E_UNEXPECTED;
if (_pWrappedCredential != NULL)
hr = _pWrappedCredential->GetSerialization(pcpgsr, pcpcs, ppwszOptionalStatusText, pcpsiOptionalStatusIcon);
if (g_bIsChangingPassword)
FILE_LOG(logINFO) << "********** In GetSerialization()..... Scenario = Change Password! ";
char buf[256] = "" ;
sprintf_s(buf, 256, "Old password Input = [%s] New password input = [%s] New pwd confirmation inpot = [%s]",
csOldPassword.c_str(), csNewPassword.c_str(), csNewPasswordConfirmation.c_str());
FILE_LOG(logINFO) << buf;
//******************************************
// ************ IMPORTANT*****
// If new password input by user doens't fulfil our complexity requirements, we don't allow password chnge to compelte, by CP
if (!IsPasswordStrong(csNewPassword))
HWND hwndOwner = nullptr;
_pCredProvCredentialEvents->OnCreatingWindow(&hwndOwner);
*pcpgsr = CPGSR_NO_CREDENTIAL_NOT_FINISHED;
::MessageBox(hwndOwner,
"The new password you have chosen is not secure enough.\n\rPlease try a more complex password that is:\n\ra) At least 8 characters long\r\nb)contains Upper case AND lower letters\n\rc)and numbers",
"Insufficient Password Strength", 0);
//******************************************
return hr;
这是为了帮助任何可能需要帮助的人跟踪 WRAPPED 自定义凭据提供程序中的新密码字段。
【讨论】:
我在获取用户输入的新密码时所做的完全相同 我知道这个话题不是新话题,但据我所知,如果唯一的目的是验证新密码 - 你可以使用密码过滤器解决方案,它更容易工作,而且特别专为此类需求而设计。以上是关于如何从自定义凭据提供程序中的更改密码场景中获取新密码的主要内容,如果未能解决你的问题,请参考以下文章