Где хранить пароль?
От: Аноним  
Дата: 13.02.12 11:36
Оценка:
Добрый день, вероятно вопрос обсуждался: как хранить пароль на ПК пользователя?
Вероятно справедливо и для реестра виндовс и для файла на HDD.

Для в хода в программу используется пароль заданным пользователем.

1) Злоумышленник может подменить файл/ключ реестра с паролем (который он установил на своем ПК) и доступ открыт.

2) Удалить файл/ключ реестра и тогда вход вовсе не возможен.

3) Удалит все следы ПО (но сохранит данные), установит ПО и создаст новый пароль.

Подскажите как правильнее сделать.

П.С. использовать токены или стороннее ПО не планирую.

13.02.12 16:10: Перенесено модератором из '.NET' — kochetkov.vladimir
Re: Где хранить пароль?
От: B0rG  
Дата: 13.02.12 11:57
Оценка:
Здравствуйте, Аноним, Вы писали:

оставив в стороне терморектальный криптоанализ, на компутере пользователя можно хранить не сам пароль, а например его md5 hash.
Re: Где хранить пароль?
От: GarryIV  
Дата: 21.02.12 07:28
Оценка:
Здравствуйте, Аноним, Вы писали:

А>Добрый день, вероятно вопрос обсуждался: как хранить пароль на ПК пользователя?

А>Вероятно справедливо и для реестра виндовс и для файла на HDD.

А>Для в хода в программу используется пароль заданным пользователем.


А>1) Злоумышленник может подменить файл/ключ реестра с паролем (который он установил на своем ПК) и доступ открыт.

А>2) Удалить файл/ключ реестра и тогда вход вовсе не возможен.
А>3) Удалит все следы ПО (но сохранит данные), установит ПО и создаст новый пароль.

1. Не хранить нигде. Хранить хеш.
2. Шифровать данные с использованием пароля.

Впрочем если злоумышленник имеет физический доступ к компу и привилегии администратора то ничего не поможет.
WBR, Igor Evgrafov
Re: Где хранить пароль?
От: vsb Казахстан  
Дата: 21.02.12 07:40
Оценка:
Здравствуйте, Аноним, Вы писали:

Вынесите логику на другой сервер.
Re[2]: Где хранить пароль?
От: Джеффри  
Дата: 21.02.12 07:51
Оценка:
Здравствуйте, GarryIV, Вы писали:

GIV>1. Не хранить нигде. Хранить хеш.

GIV>2. Шифровать данные с использованием пароля.

GIV>Впрочем если злоумышленник имеет физический доступ к компу и привилегии администратора то ничего не поможет.


А, каким образом использование хеша позволит избежать проблем перечисленных автором? Если хеш, как и пароль, хранится в реестре / на диске, его что нельзя удалить, подменить?

На месте автора, я бы не изобретал велосипед, а посмотрел в сторону Windows-based аутентификации и встроенных компонент безопасности (Protected Storage, CryptProtectData / CryptUnprotectData, CryptoAPI и т.д.).
Re: Где хранить пароль?
От: akasoft Россия  
Дата: 21.02.12 16:31
Оценка:
Здравствуйте, <Аноним>, Вы писали:

А>Подскажите как правильнее сделать.


Не хранить пароль. Вводить каждый раз.
Если начинаем хранить, то это дискредитирует саму идею паролей и речи быть не может ни о какой защите от злоумышленников.
Защита при хранении практически невозможна. Можно говорить об удобстве пользователя, которое достигается ценой защищённости.
Можно говорить о защите от дурака, когда пароль кодируется и/или подписывается простейшим образом, чтобы нельзя было считать его простым невооружённым глазом.
... << RSDN@Home 1.2.0 alpha 5 rev. 1539>>
Re[3]: Где хранить пароль?
От: GarryIV  
Дата: 22.02.12 11:15
Оценка:
Здравствуйте, Джеффри, Вы писали:

GIV>>1. Не хранить нигде. Хранить хеш.

GIV>>2. Шифровать данные с использованием пароля.

GIV>>Впрочем если злоумышленник имеет физический доступ к компу и привилегии администратора то ничего не поможет.


Д>А, каким образом использование хеша позволит избежать проблем перечисленных автором? Если хеш, как и пароль, хранится в реестре / на диске, его что нельзя удалить, подменить?


Да пусть себе меняет хеш сколько хочет — до данных он все равно не доберется.

Д>На месте автора, я бы не изобретал велосипед, а посмотрел в сторону Windows-based аутентификации и встроенных компонент безопасности (Protected Storage, CryptProtectData / CryptUnprotectData, CryptoAPI и т.д.).


Я писал в первом приближении. На чем это реализовать — отдельный вопрос и не ко мне а к топикстартеру.
WBR, Igor Evgrafov
Re: Где хранить пароль?
От: Философ Ад http://vk.com/id10256428
Дата: 27.02.12 14:15
Оценка:
Здравствуйте, Аноним, Вы писали:

Шифровать данные пользователя с помощью его пароля.
При вводе пароля расшифровываем стандартный заголовок данных, если расшифровали правильно то пускаем, иначе — нет.

Пароль не хранить. Его хэш тоже.
Всё сказанное выше — личное мнение, если не указано обратное.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.