Protegiendo contraseñas de usuario en aplicaciones de escritorio
https://stackoverflow.com/questions/225475
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy creando un cliente de Twitter y estoy evaluando las distintas formas de proteger la información de inicio de sesión del usuario.
- Al parecer, el hash no lo hace
- ofuscar de manera reversible es como tratar de esconderme detrás de mi dedo
- Los sonidos de texto sin formato y posiblemente sean promiscuos
- Requerir que el usuario escriba su contraseña cada vez que la aplicación sea tediosa
¿Alguna idea?
Solución
Podrías hacer algunas llamadas al sistema operativo para cifrar la contraseña por ti.
En Windows:
- Puede cifrar un archivo (en un sistema de archivos NTFS)
- Utilice DPAPI desde C
- Use la DPAPI en .Net usando Clase ProtectedData
Otros consejos
CryptProtectData es una función de Windows para almacenar este tipo de datos confidenciales.
http://msdn.microsoft.com/en-us/library /aa380261.aspx
Para ver un ejemplo, vea cómo lo usa Chrome:
http: //blog.paranoidferret .com / index.php / 2008/09/10 / how-google-chrome-stores-passwords /
Para Windows: cifre la contraseña mediante DPAPI (almacén de usuarios) y guárdela en su archivo de configuración o en otro lugar. Esto funcionará por usuario, por ejemplo. diferentes usuarios en la misma máquina tendrán diferentes claves de cifrado no relacionadas.
¿Qué plataforma?
En * nix, almacene la contraseña en texto sin formato en un archivo codificado 400 en un subdirectorio del directorio de inicio. Ver por ejemplo ~ / .subversion. De todos modos, los administradores pueden hacer lo que quieran a los usuarios, incluido el reemplazo de su programa con su propia versión pirateada que captura las contraseñas, por lo que no pueden perjudicar el hecho de que puedan ver el archivo. Tenga en cuenta que la contraseña también es accesible para alguien que extrae ese disco duro. Si esto es un problema, haga que el usuario vuelva a ingresar la contraseña cada vez que lo haga o compruebe si esta versión de * nix tiene cifrado de archivos.
En Windows Pro, almacene la contraseña en un archivo cifrado.
En Windows Amateur, haz lo mismo que * nix. [Editar: CryptProtectData se ve bien, como sugiere Aleris. Si está disponible en todas las Windows, entonces resuelve el problema de solo las versiones más caras que admiten archivos encriptados].
En Symbian, almacene la contraseña en su jaula de datos. Los programas con permiso de AllFiles son raros y, supuestamente, de confianza de todos modos, un poco como * nix admins.
No puedes tener tu pastel y comértelo también. Guarde la contraseña (que ha descartado), o no, y pida que la escriba cada vez (que ha descartado).
Tenga un buen esquema de cifrado simétrico, debería hacer que sea lo suficientemente difícil como para descifrar las credenciales que no valen la pena probar. De lo contrario, si el servicio solo requiere que el hash se envíe a través de la red, puede almacenar el cifrado hast. De esta manera, incluso el descifrado no acercará al atacante a la solución. Sin embargo otros usuarios son ciertos. Si almacenas los datos se pueden encontrar. La clave es encontrar el equilibrio entre seguridad y usabilidad.
