在我看来，密码和凭证的处理在CPI是可以改进的。前一段时间，我指出了我对如何容易获得密码的担忧，大数据是什么，对于那些拥有开发人员配置文件的人来说。在这篇文章中，我将不谈论这些要点，但我将使用当前的密码管理功能来帮助验证CPI租户中存储的密码的强弱。

由于不同的安全漏洞，许多用户留下了暴露在不同网站上使用的帐户的密码。SAP创始人之一的研究所（Hasso Plattner Institute）拥有一个验证这些安全漏洞的工具。作为这些漏洞的第二个影响，有可能获得密码和散列列表，这些列表已被攻击字典所取代。一个广泛讨论的良好实践是，使用的每个密码都是唯一的，这在这些密码字典中找不到。但是，如何验证我的密码没有被泄露？一方面Troy Hunt通过一个公共域API帮助我们，另一方面，我向您展示一个iFlow，多线云主机，它使用这个API并为您进行检查。

验证密码的API只接收密码哈希（SHA1）的前5个字符。原因很清楚：我们不想传输可能证明密码的完整散列。由于只发送5个字符，因此结果是一个由部分哈希组成的集合，这些哈希共享发出请求的前缀以及哈希/密码在不同安全漏洞中暴露的次数。API限制每1.5秒调用一次。

iFlow使用CPI的API odata简单地查询租户中现有凭据的完整列表。然后，脚本生成每个密码的哈希，调用API，交通大数据，最后比较结果。最后，给出了一个简单的网页，显示了可能被泄露的密码。由于每1.5秒调用一次的限制以及生成和比较哈希所需的时间，每个凭证需要大约2秒的时间进行分析。所以在执行iflow时要有耐心，因为如果你有很多凭据，医疗物联网，这个过程可能需要一段时间。

要运行iflow，请打开你的web浏览器并使用url：https://TENANT\u DETAILS/http/amba/pwnage-切克。你需要一个合适的角色来使用odataapi和发送消息。

一个示例结果：

如果你想自己实现iflow，你可以使用这个片段作为参考：

注意：很明显，代码可以很容易地修改，云的服务器，以读取系统的所有凭证。具有良好的判断力。

上述漏洞以及仅基于用户和密码的身份验证过程的局限性，导致公司需要考虑其他替代方案。幸运的是，CPI有一些有趣的身份验证和授权选项，比如OAuth、SSO和客户机证书。值得在新集成的设计阶段提出这些选项。