Login Daten abspeichern

12/15/2016 01:16 Numb-Ex#1

Nabend allerseits.
Ich habe in meinem derzeitigen Program vor, ein Loginmodul einzubauen.
Nun stellt sich allerdings mir die Frage, wie kann ich die Daten am besten Verwalten? Da ich die daten ja nicht hardcoded ins Program integrieren kann.
Meine Idee w�re es jetzt diese im Programm zu einem Hash umzuwandeln, wobei der Hash aus BSP Loginname+PC Name besteht. Und dieser in einer Textdatei abspeichere.
Oder ist diese Variante auch relativ unsicher?
Bzw hat jemand einen besseren Vorschlag?
mfg

12/15/2016 09:22 florian0#2

Ein Hash ist Einwegverfahren. Den Klartext aus einem Hash zu generieren ist (in der Theorie) nicht m�glich.

F�r einen Login brauchst du in der Regel Klartext-Passw�rter. Wenn du einen Hash speicherst, nimmst du f�r den Login logischerweise diesen Hash. Das hei�t im Umkehrschluss, auf der Serverseite brauchst du ebenfalls nur die Hashes, an die Klartexte kommst du ja nicht mehr.
Im Endeffekt hast du hier also keine weitere Sicherheit. Der Hash ist nun dein Klartext, sieht nur nicht mehr wie Klartext aus.

Beim Passwort wird das ganze noch viel lustiger. Angenommen du speicherst auch das Passwort gehasht auf den Client ... dann musst du ja auf Serverseite garnicht mehr hashen oder? B�m, System kaputt. Auch wenn keiner die Klartextpassw�rter kennt, die muss er jetzt auch nicht mehr kennen. Er kann sich ja einfach mit dem Hash authentizifieren.
Wenn man den Hash von einem User klaut, naja, klingt jetzt nicht so kritisch. Aber im Endeffekt hast du jetzt eine Datenbank voller Klartextpassw�rter ... wenn die jemand in die Finger bekommt, braucht er sich nicht mal die M�he zu machen die Hashes zu knacken.

Besser w�re eine klassische Verschl�sselung mit einem individuellen Schl�ssel pro Computer. Hier ist die Verschl�sselung nat�rlich nur solange sicher, wie man den Schl�ssel nicht kennt. Ist auch nicht perfekt, aber besser.

12/15/2016 09:24 Devsome#3

Wenn du sp�ter das Programm vermarkten willst (verkaufen) dann w�re es am besten die Online zu speichern. Dann kannst du mit deinem Programm eine Abfrage an einen Webserver machen entweder bekommst du dann eine Antwort "Alle Daten stimmen" oder einfach nur eine 1 und 0 zur�ck.

12/15/2016 09:27 aj1987#4

Es w�re wohl auch noch als Alternative besser die Datens�tze in die Registry zu schreiben. Du kannst wie ja bereits erwehnt, die Login-Daten mit einem Schl�ssel verschl�sseln der sich aus PC-Daten zusammenfasst.

12/20/2016 18:57 AssaulT_#5

Quote:

Originally Posted by aj1987

Es w�re wohl auch noch als Alternative besser die Datens�tze in die Registry zu schreiben. Du kannst wie ja bereits erwehnt, die Login-Daten mit einem Schl�ssel verschl�sseln der sich aus PC-Daten zusammenfasst.

Die Windows-Registry ist ein obsoletes und �berholtes Konzept, welches man hervorragend umgehen kann. Ich w�rde keinem dazu raten, Userdaten dort abzulegen.