Protezione delle password degli utenti nelle applicazioni desktop
https://stackoverflow.com/questions/225475
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto creando un client Twitter e sto valutando i vari modi di proteggere le informazioni di accesso dell'utente.
- A quanto pare l'hashing non lo fa
- Offuscare in modo reversibile è come cercare di nascondermi dietro il mio dito
- Il testo in chiaro suona e probabilmente è promiscuo
- Richiedere all'utente di digitare la propria password ogni volta renderebbe l'applicazione noiosa
Qualche idea?
Soluzione
Potresti effettuare alcune chiamate del sistema operativo per crittografare la password per te.
Su Windows:
- Puoi crittografare un file (su un filesystem NTFS)
- Utilizza DPAPI da C
- Utilizza DPAPI in .Net utilizzando ProtectedData classe
Altri suggerimenti
CryptProtectData è una funzione di Windows per la memorizzazione di questo tipo di dati sensibili.
http://msdn.microsoft.com/en-us/library /aa380261.aspx
Per un esempio, vedi come Chrome lo utilizza:
http: //blog.paranoidferret .com / index.php / 2008/09/10 / how-google-chrome-negozi-password /
Per Windows: crittografare la password utilizzando DPAPI (archivio utenti) e memorizzarla nel file delle impostazioni o altrove. Funzionerà in base all'utente, ad es. utenti diversi sullo stesso computer avranno chiavi di crittografia non correlate diverse.
Quale piattaforma?
Su * nix, memorizza la password in testo semplice in un file codificato 400 in una sottodirectory della home directory. Vedi ad esempio ~ / .subversion. Gli amministratori possono comunque fare tutto ciò che vogliono agli utenti, inclusa la sostituzione del programma con la propria versione compromessa che cattura le password, quindi non c'è nulla di male nel fatto che possano vedere il file. Fai attenzione che la password sia accessibile anche a qualcuno che estrae quel disco rigido - se questo è un problema, fai in modo che l'utente inserisca nuovamente la password ogni volta o controlli se questa versione di * nix ha la crittografia dei file.
Su Windows Pro, archivia la password in un file crittografato.
Su Windows Amateur, fai lo stesso di * nix. [Modifica: CryptProtectData sembra buono, come suggerisce Aleris. Se è disponibile su tutte le finestre, risolve il problema solo delle versioni più costose che supportano i file crittografati].
Su Symbian, archivia la password nella tua gabbia dati. I programmi con autorizzazione AllFiles sono rari e comunque presumibilmente affidabili, un po 'come gli amministratori * nix.
Non puoi avere la tua torta e mangiarla anche tu. Memorizza la password (che hai escluso) oppure no e richiedi che venga digitata ogni volta (che hai escluso)
Avere un buon schema di crittografia simmetrica, dovrebbe rendere abbastanza difficile decrittografare le credenziali che non vale la pena provare. Altrimenti, se il servizio richiede solo l'invio dell'hash sulla rete, è possibile archiviare l'hast crittografato. In questo modo anche la decodifica non avvicina l'attaccante alla soluzione. Tuttavia, altri utenti sono veri. Se si memorizzano i dati, è possibile trovarli. La chiave sta nel trovare l'equilibrio tra sicurezza e usabilità.
