Protéger les mots de passe des utilisateurs dans les applications de bureau
https://stackoverflow.com/questions/225475
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je crée un client Twitter et j'évalue les différentes façons de protéger les informations de connexion de l'utilisateur.
- Apparemment, le hachage ne le fait pas
- Obscurber de manière réversible, c’est comme essayer de se cacher derrière mon doigt
- Le texte brut sonne et est probablement promiscuité
- Demander à l'utilisateur de saisir son mot de passe à chaque fois rend l'application fastidieuse
Des idées?
La solution
Vous pouvez faire quelques appels au système d'exploitation pour chiffrer le mot de passe pour vous.
Sous Windows:
- Vous pouvez chiffrer un fichier (sur un système de fichiers NTFS)
- Utilisez le DPAPI à partir de C
- Utilisez DPAPI dans .Net en utilisant Classe ProtectedData
Autres conseils
CryptProtectData est une fonction Windows permettant de stocker ce type de données sensibles.
http://msdn.microsoft.com/en-us/library /aa380261.aspx
Pour un exemple, voyez comment Chrome l'utilise:
http: //blog.paranoidferret .com / index.php / 2008/09/10 / how-google-chrome-stores-passwords /
Pour Windows: chiffrez le mot de passe à l'aide de DPAPI (magasin d'utilisateurs) et stockez-le dans votre fichier de paramètres ou ailleurs. Cela fonctionnera par utilisateur, par exemple. différents utilisateurs sur le même ordinateur auront différentes clés de chiffrement non liées.
Quelle plateforme?
Sur * nix, stockez le mot de passe en texte brut dans un fichier chmodé 400 dans un sous-répertoire du répertoire de base. Voir par exemple ~ / .subversion. Les administrateurs peuvent de toute façon faire ce qu’ils veulent pour les utilisateurs, y compris en remplaçant votre programme par leur propre version piratée qui capture les mots de passe. Ainsi, ils ne verront aucun inconvénient à ce qu’ils puissent voir le fichier. Veillez à ce que le mot de passe soit également accessible à quelqu'un qui extrait ce disque dur. Si le problème se pose, demandez à l'utilisateur de le ressaisir à chaque fois ou vérifiez si cette version de * nix est cryptée.
Sous Windows Pro, stockez le mot de passe dans un fichier crypté.
Sous Windows Amateur, procédez de la même manière que * nix. [Edit: CryptProtectData semble bon, comme le suggère Aleris. S'il est disponible sur tous les Windows, cela résout le problème des versions plus coûteuses prenant en charge les fichiers cryptés].
Sous Symbian, enregistrez le mot de passe dans votre cage de données. Les programmes avec la permission AllFiles sont rares et supposés de toute façon faire confiance, un peu comme les administrateurs * nix.
Vous ne pouvez pas avoir votre gâteau et le manger aussi. Stockez le mot de passe (ce que vous avez exclu) ou ne le faites pas et demandez-le d'être saisi à chaque fois (ce que vous avez exclu.)
Si vous avez un bon schéma de chiffrement symétrique, il devrait être assez difficile de déchiffrer les informations d'identification pour que cela ne vaille pas la peine d'essayer. Sinon, si le service exige uniquement que le hachage soit envoyé sur le réseau, vous pouvez stocker le code crypté. De cette façon, même le déchiffrement ne rapprochera pas l'attaquant de la solution. Cependant, les autres utilisateurs sont vrais. Si vous stockez les données, vous pouvez les trouver. La clé est de trouver un équilibre entre sécurité et facilité d'utilisation.
