提取 TortoiseSVN 保存的密码

Question

有没有办法提取 TortoiseSVN 保存的凭据？

Answer 1

简短回答：您可以使用 TortoiseSVN Password Decrypter 轻松显示缓存的凭据，包括密码。

长答案：这是该工具的工作原理。

凭据保存在%APPDATA%\Subversion\auth\ 的子目录中。从this previous answer列出的它们是：

• svn.simple 包含用于基本身份验证的凭据（用户名/密码）
• svn.ssl.server 包含 SSL 服务器证书
• svn.username 包含仅用户名身份验证的凭据（无需密码）

第一个目录是感兴趣的目录。它似乎包含名称看起来像 GUID 的文件；为您保存凭据的每个存储库提供一个。

这些文件中的密码由Windows Data Protection API 加密。上面的工具使用来自Obviex 的示例代码与此 API 交互并执行解密。

为了使其工作，您必须有权访问您在选中“保存身份验证”复选框时运行的同一 Windows 用户帐户。这是因为 Windows 数据保护 API 使用与您的 Windows 帐户绑定的加密密钥。如果您丢失了此帐户（或者，我相信，如果管理员重置了您的密码），那么您将无法再解密密码（也许使用暴力破解/third party tool 除外）。拥有一个具有相同用户名/密码（甚至可能是 SID）的新 Windows 帐户是不够的。

Answer 2

根据下面的信息，听起来您可以以某种方式在本地解密它们......

更新：来自 TortiseSVN 社区的明确答复

当它们通过网络发送时 加密，它们使用 握手和/或商定的密钥 连接时间。

当它们在本地存储/读取时， 它们通过 使用密钥的 Windows 加密 API 绑定到您的 Windows 帐户。

本地加密的副本不能 由服务器解密，因为 密钥是您帐户的本地密钥。

所以当你连接时（比如说通过 HTTPS），您的客户端获取 通过解密的凭据 适当的 Windows API，然后包括 它们在 HTTPS 传输中。 HTTPS 加密整个通信 使用 SSL 的客户端和服务器之间 证书，而不仅仅是 凭据。