保护用户密码在桌面应用程序
https://stackoverflow.com/questions/225475
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我在做一个twitter的客户,而且我评估的各种方式保护用户的登录信息。
- 哈希显然不会这样做
- 混淆在一个可逆的方式就像是试图躲在我的手指
- 纯文字的声音和propably是混杂
- 需要用户类型在他的密码,每次会使用令人厌烦
任何想法?
解决方案
其他提示
CryptProtectData是一个功能用于储存这种敏感数据。
http://msdn.microsoft.com/en-us/library/aa380261.aspx
对于一个例子看看如何使用的铬:
http://blog.paranoidferret.com/index.php/2008/09/10/how-google-chrome-stores-passwords/
为Windows:加密的密码使用DPAPI(用户储存),并将其存储在设置文件或其他地方。这将在每个用户,例如不同的用户在同一机会具有不同无关的加密钥匙。
什么样的平台?
关于*nix,储存的纯文本的密码文件中chmoded400子目录中的主目录。例如,见~/.颠复活动。管理人员可以做任何他们喜欢用户无论如何,包括替换您的程序与他们自己的侵版本,捕获的密码,因此没有任何伤害这一事实,他们可以参阅的文件。当心,密码还可以对某人采取了这硬盘-如果这是一个问题,然后可以获得的用户重新输入密码的每一个时间或检查是否有这个版本*尼克斯有文件加密。
在Windows亲、储存密码加密的文件。
在窗户是业余的,这样做如*尼克斯。[编辑:CryptProtectData看起来不错,爱励的建议。如果它是适用于所有Windowses,然后解决问题的唯一的版本更加昂贵支持的加密文件].
在塞班、储存密码在数据的笼子。程序与AllFiles权限是罕见的,据称是可信的,无论如何,有点像*nix管理员。
你不能拥有你的蛋糕吃了它。或者存放令(这你已经排除了),或者不及要求它类型在每一个时间(这你已经排除。)
有一个良好的对称加密方案,这应该使它难足以解密的凭证,这就不值得尝试。否则,如果服务只要求散列为可通过网络发送的,你可以存储你加密的。这种方式甚至是密不会得到攻击者更接近解决方案。但是其他用户是真实的。如果存储的数据,它可以找到。关键是找到平衡之间的安全性和可用性。
