PowerShell 技能连载 - 小心 Get-Credential 和 SecureString
有些时候,脚本以交互的方式询问凭据或密码。请时刻注意脚本的作者可以获取所有输入信息的明文。仅当您信任脚本和作者的时候才可以输入敏感信息。
请注意:这并不是一个 PowerShell 问题,这是所有软件的共同问题。
让我们看看一个脚本如何利用输入的密码。如果一个脚本需要完整的凭据,它可以检查凭据对象并解出密码明文:
1 | $credential = Get-Credential |
类似地,当提示您输入密码作为安全字符串时,脚本的作者也能获取到输入的明文:
1 | $password = Read-Host -AsSecureString -Prompt 'Enter Password' |
PowerShell 技能连载 - 小心 Get-Credential 和 SecureString
http://blog.vichamp.com/2017/01/11/careful-with-get-credential-and-securestrings/