Оцените способ хранения паролей!

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
A.A.Z.
Член-корреспондент академии VBStreets
Член-корреспондент академии VBStreets
 
Сообщения: 3035
Зарегистрирован: 30.06.2003 (Пн) 13:38

Оцените способ хранения паролей!

Сообщение A.A.Z. » 16.06.2004 (Ср) 18:09

Делаешь базу mdb, делаешь таблицу с двумя столбцами: Name и Password. Записываешь туда все пароли, а затем удаляешь в mdb файле, например, первый байт (естественно, после следующего запуска пишешь его обратно). Соответсвенно, проги будут ругаться и взломщик войдет в заблуждение. Оцените способ - хороший / плохой, стоит ли пробовать? :roll:

ЗЫ Предлагаю сюда постить любимые способы хранения / шифровки паролей. :D
Нет меня больше

Urvin
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 518
Зарегистрирован: 04.06.2003 (Ср) 10:47
Откуда: с Марса

Сообщение Urvin » 16.06.2004 (Ср) 18:32

Элементарная защита от обычного пользователя. Только если надо, все равно найдут как "взломать".
Не так страшен русский танк, как его пьяный экипаж

A.A.Z.
Член-корреспондент академии VBStreets
Член-корреспондент академии VBStreets
 
Сообщения: 3035
Зарегистрирован: 30.06.2003 (Пн) 13:38

Сообщение A.A.Z. » 16.06.2004 (Ср) 21:24

Ну, как говорится, хоть что-то новенькое :)
Понятно, что любую защиту взломать можно, другое дело, что не каждый сможет взломать...
Нет меня больше

Alexanbar
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1727
Зарегистрирован: 13.04.2004 (Вт) 23:04
Откуда: Волгоградская обл.

Сообщение Alexanbar » 16.06.2004 (Ср) 23:11

Предлагаю дополнить шифрованием пароля по какому-либо алгоритму

sanches
El compañero
El compañero
 
Сообщения: 823
Зарегистрирован: 09.01.2003 (Чт) 3:58
Откуда: Р_О_С_С_И_Я ! (Питер)

Сообщение sanches » 17.06.2004 (Чт) 0:16

если в программе не используется функция "забыл пароль?", то сам пароль вообще хранить не нужно !!! а хранить только "соль", вычисленную из пароля (при этом обратное вычисление нефозможно).

ну а если уж говорить о модификации самой БД, то тут фантазия на изменение байтов (ну в частности удаление первого байта) ни к чему не приведет: любой мало-мальский крякер сделает веревс и прочтет, где ты чего меняешь :)
Последний раз редактировалось sanches 17.06.2004 (Чт) 0:18, всего редактировалось 1 раз.
Изображение

GAGArin
Неистовый флудер
Неистовый флудер
 
Сообщения: 1777
Зарегистрирован: 23.12.2002 (Пн) 12:46
Откуда: я тут взялся, не знаю...

Сообщение GAGArin » 17.06.2004 (Чт) 0:16

А что помешает мне открыть его HEX едитором и просто проследить спокойненько все твои махинации? Если я не смогу открыть файл, то я например сразу лезу за НЕХ едитором. Даже если ты будешь вырезать в другой файл половину байтов то попарясь я составлю из них исходный (надеюсь).
Есть неплохой способ избежать этого. Надо считывать весь файл, а потом обрабатывать в программе. В то время как многие проги обращаются поочереди за каждой строчкой, а это очень облегчает задачу ломающего.
Но ИМХО как простая защита это катит. Если комбинировать много простых защит можно получить сложную :)

Кстати хранить пароль нужно в файле же с запароленными данными. Иначе если он лежит отдельно, то я просто заменю его на готовый извесный мне, и даже думать не буду его взламывать. Вставить блок байтов вместо старого пароля в документ труднее, но тоже можно. Еще труднее сделать это если пароль распределен по документу.

Leon_
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 333
Зарегистрирован: 19.05.2004 (Ср) 16:31
Откуда: Moscow

Сообщение Leon_ » 17.06.2004 (Чт) 0:33

Мое деструктивное мнение:
надо везде, где это возможно, передоверять ОС систему защиты своей программы, и не париться этим.
Создание собственной, действительно надежной, потребует усилий, превосходящих саму программу.

Oxygen
Белая и пушистая
Белая и пушистая
Аватара пользователя
 
Сообщения: 1314
Зарегистрирован: 15.07.2003 (Вт) 7:14
Откуда: Москва

Сообщение Oxygen » 17.06.2004 (Чт) 5:26

Как вариант - хранить хеши паролей. Их врят - ли кто решится расшифровывать. А так, ты видел устройство базы? Я ее edit'ом спокойно читала, по крайней мере то, что нужно там найти можно. Или, если хочешь, шифруй саму базу еще, так немного надежней.
Процедура клонирования завершена.
Коррекция имплантированного сознания соответствует принятым алгоритмам.
Уникальный идентификатор скопирован в чип временного паспорта.
Активация прав гражданина ожидается в течение 24 часов

Urvin
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 518
Зарегистрирован: 04.06.2003 (Ср) 10:47
Откуда: с Марса

Сообщение Urvin » 17.06.2004 (Чт) 9:57

А, вообще, для кодирования мне нравится такая конструкция:
Код: Выделить всё
Private Function RegKey(RegtoText As String, SerialNumber As String) As String
    Dim result As Long
    Dim sn() As String
   
    sn = Split(SerialNumber, "-")
   
    result1 = (Val(sn(0)) - Val(sn(1)))
    result1 = Mid(Hex(result1), 2, 3) & CStr(Asc(result1))
   
    For calc = 1 To Len(RegtoText)
        result = result + Asc(Mid(RegtoText, calc, 1)) * sn(0) + Len(RegtoText)
    Next calc
   
    RegKey = Hex(result) & "-" & Hex(Len(RegtoText)) & "A-" & result1
End Function


txtPassword.Text = RegKey("Urvin", "178500-135678")
Не так страшен русский танк, как его пьяный экипаж

Boris_BGB
Флудер-Энтузиаст
Флудер-Энтузиаст
 
Сообщения: 661
Зарегистрирован: 11.12.2002 (Ср) 11:41

Сообщение Boris_BGB » 17.06.2004 (Чт) 16:15

А мне нравится кодировка с открытым ключом.
Вообще знакомые моего друга из налоговой восстанавливали пароли, которые были на жёстких дисках побывавших в серной кислоте.
Это такие монстры!
SkateBoarding is not a crime!

Alexanbar
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1727
Зарегистрирован: 13.04.2004 (Вт) 23:04
Откуда: Волгоградская обл.

Сообщение Alexanbar » 18.06.2004 (Пт) 18:09

Насчёт удаления первого байта: Подумал я на досуге, и вот какие доводы проти этого:
Пользователь (в том числе тот, что купил программу) случайно запускает базу, и ... не понятно, как на это реагирует система. Скорее всего выйдет сообщение типа "Программа выполнила недопустимую операцию" . Не думаю, что программировать такую ситуацию сознательно- хороший способ сохранения паролей. Лучше уж придумать своё расширение или хотя бы полностью заменить заголовок внутри файла, по которому определяется его формат.

ASD
Модератор
Модератор
Аватара пользователя
 
Сообщения: 1758
Зарегистрирован: 07.12.2001 (Пт) 21:08
Откуда: Russia

Сообщение ASD » 18.06.2004 (Пт) 22:18

удаление байта фигня..
открой в Hex и можно посмотреть все в ней.
На счет шифрования...
Типа нет библ для шифрования по стандартам... да куча!
Короче маза с удаление байтов - бред..
Moderator VBStreets
---------------------------

Шурик
Самогонщик
Самогонщик
Аватара пользователя
 
Сообщения: 1657
Зарегистрирован: 30.06.2003 (Пн) 13:27
Откуда: из запоя :))))) Матных сообщений: 972

Сообщение Шурик » 18.06.2004 (Пт) 23:05

Ну а какже ключом??? Допустим взять 1024bit ключ (как у нас в пенсионке) хрен расшифруешь... Можно хотябы начать с 32бит.... Это будет расшифровать очень сложно, вот... А на счет 1 байта - это уже все зависит от пользователя.. умеет либо нет :) точнее допрет посмотреть через hex или нет :)

Urvin
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 518
Зарегистрирован: 04.06.2003 (Ср) 10:47
Откуда: с Марса

Сообщение Urvin » 19.06.2004 (Сб) 7:29

Шурик писал(а):А на счет 1 байта - это уже все зависит от пользователя.. умеет либо нет :) точнее допрет посмотреть через hex или нет :)

А ты как думаешь, если тебе попадется какая-нибудь прога, залетная такая, тебе придет в голову вызывать скорую чтобы пожар потушили? Будешь поднимать все силы для того, чтобы найти этот самый 1 байт?
Не так страшен русский танк, как его пьяный экипаж

GAGArin
Неистовый флудер
Неистовый флудер
 
Сообщения: 1777
Зарегистрирован: 23.12.2002 (Пн) 12:46
Откуда: я тут взялся, не знаю...

Сообщение GAGArin » 19.06.2004 (Сб) 14:04

Urvin
И не подумаю. просто если есть файл, а открыть я его не могу то я естественно посмотрю инфу хранящуюся в нем. А чем это делать если не НЕХом? Он все сразу покажет. Я может и не догадаюсь где байт вставить, дажа наверняка не догадаюсь что его вставить надо. Просто пожму плечами, скжу: "глюк", вытащю ваши пароли и забуду об этом :wink:

Шурик
Самогонщик
Самогонщик
Аватара пользователя
 
Сообщения: 1657
Зарегистрирован: 30.06.2003 (Пн) 13:27
Откуда: из запоя :))))) Матных сообщений: 972

Сообщение Шурик » 21.06.2004 (Пн) 12:04

Urvin писал(а):
Шурик писал(а):А на счет 1 байта - это уже все зависит от пользователя.. умеет либо нет :) точнее допрет посмотреть через hex или нет :)

А ты как думаешь, если тебе попадется какая-нибудь прога, залетная такая, тебе придет в голову вызывать скорую чтобы пожар потушили? Будешь поднимать все силы для того, чтобы найти этот самый 1 байт?


Присоеденяюсь к GAGArin.... Сразу бы Hex в руки и .... вобщем понятно.. :)


Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 99

    TopList