Der Schutz von Benutzerpasswörtern in Desktop-Anwendungen
https://stackoverflow.com/questions/225475
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich mache ein Twitter-Client, und ich bin die Bewertung der verschiedenen Möglichkeiten der Anmeldeinformationen des Benutzers zu schützen.
- Hashing es anscheinend nicht tun
- in eine umkehrbar Weise Verschleiern ist wie der Versuch, hinter dem Finger verstecken
- Plain Text klingt und propably ist Promiscuous
- der Benutzer sein Passwort eingeben jedes Mal die Anwendung ermüdend machen würde
Irgendwelche Ideen?
Lösung
Sie könnten einige OS-Anrufe das Passwort für Sie zu verschlüsseln.
Unter Windows:
- Sie können eine Datei verschlüsseln (auf einem NTFS-Dateisystem)
- Verwenden Sie die DPAPI von C
- Verwenden Sie die DPAPI in .Net durch die ProtectedData Klasse
Andere Tipps
CryptProtectData ist eine Windows-Funktion diese Art von sensiblen Daten zum Speichern.
http://msdn.microsoft.com/en-us/library /aa380261.aspx
Für ein Beispiel sehen, wie Chrome nutzt:
http: //blog.paranoidferret .com / index.php / 2008/09/10 / how-google-chrome-Shops-Passwörter /
Für Windows: verschlüsseln das Passwort DPAPI (Benutzerspeicher) verwendet und speichern Sie es in Ihrer Einstellungsdatei oder woanders. Dies funktioniert auf einer Pro-Benutzer-Basis, z.B. verschiedene Benutzer auf derselben Maschine werden verschiedene unabhängige Verschlüsselungsschlüssel haben.
Welche Plattform?
Auf * nichts, speichern Sie das Passwort im Klartext in einer Datei CHMOD 400 in einem Unterverzeichnis des Home-Verzeichnisses. Siehe zum Beispiel ~ / .subversion. Administratoren können auf jeden Fall für die Nutzer alles, was sie gerne tun, auch das Programm mit ihren eigenen gehackten Version ersetzen, die Passwörter erfasst, so dass es keinen Schaden in der Tatsache, dass sie die Datei sehen können. Beachten Sie, dass das Passwort jemand auch zugänglich ist, wer das Festplatte nimmt -. Wenn dies ein Problem ist, dann entweder den Benutzer erhält das Kennwort jedes Mal neu eingeben oder überprüfen, ob diese Version von * nix-Dateiverschlüsselung hat
Unter Windows Pro, speichern Sie das Passwort in einer verschlüsselten Datei.
Unter Windows Amateur, tut das gleiche wie * nichts. [Edit: CryptProtectData sieht gut aus, wie Aleris vermuten lässt. Wenn es auf allen Windowses verfügbar ist, dann löst es das Problem der nur die teureren Versionen unterstützt verschlüsselte Dateien].
Auf Symbian, speichern Sie das Kennwort in den Daten Käfig. Programme mit AllFiles Erlaubnis sind selten und angeblich sowieso, ein bisschen wie * nichts-Administratoren vertraut.
Sie können nicht Ihren Kuchen haben und ihn auch essen. Entweder speichern Sie das Passwort (die Sie ausgeschlossen haben), oder nicht und erfordern es in jeder Zeit eingegeben werden (die Sie ausgeschlossen haben.)
Haben Sie ein gutes symmetrischen Verschlüsselungsverfahren, sollte es genug schwierig machen, die Berechtigungsnachweise zu entschlüsseln, die es nicht wert wird versuchen. Andernfalls, wenn nur der Dienst den Hash erfordert über das Netzwerk gesendet werden, können Sie das Speichern haben verschlüsselt. Auf diese Weise auch die Entschlüsselung wird den Angreifer näher an die Lösung nicht erhalten. Aber auch andere Benutzer sind wahr. Wenn Sie die Daten speichern kann, es zu finden. Der Schlüssel liegt darin, die Balance zwischen Sicherheit und Benutzerfreundlichkeit.
