Einzelnen Beitrag anzeigen

Benutzerbild von sx2008
sx2008

Registriert seit: 16. Feb 2008
Ort: Baden-Württemberg
2.332 Beiträge
 
Delphi 2007 Professional
 
#14

AW: Grundsatzüberlegungen zum Thema Speichern von Passwörtern

  Alt 11. Apr 2013, 14:37
Mein Vorschlag sieht so aus:

1.) man legt ein Masterpasswort fest; dies kann entweder hartcodiert in der Anwendung sein oder von Aussen kommen
2.) man berechnet masterkey := MD5(masterpasswort)
3.) man erzeugt für jeden Vorgang einen "randomkeystring" (3 - 10 Zeichen)
key := MD5(masterkey + randomkeystring);
4.) dieser "key" hat eine Länge von 16 Bytes.
Damit wir auch Passwörter mit mehr als 16 Zeichen verschlüsseln können, wird der key verlängert:
key := key + MD5(key); Damit hat der key eine Länge von 32 Bytes.
Diese Art der Verlängerung kann wiederholt werden um so einen key mit 48 oder 64 Bytes zu erhalten.
5.) das zu verschlüsselnde Passwort wird auf mindestens 32 Zeichen verländert
Delphi-Quellcode:
if Length(password) < 32 then
   paddedPW := copy(password+#0+Randomstring2, 1,32)
else
   paddedPW := password;

6.) das verlängerte Passwort wird nun einfach mit dem Key XOR verknüpft
cryptedPW := XORstring(key, paddedPW);
7.) gespeichert wird so
Code:
$randomkeystring$cryptedPW$
Die Dollarzeichen dienen dazu, die beiden Teilstücke später wieder zu trennen.
Das cryptedPW muss hexadezimal codiert werden weil es ja alle Zeichen zwischen #0 bis #255 enthalten kann.

Vorteile:
* ohne Kenntniss des masterpassworts oder masterkeys ist die Verschlüsselung kaum zu knacken (zumindest nicht wirtschaftlich lohnend)
* selbst wenn alle FTP-Passwörter = "123456" sind entsteht durch den randomkeystring jedesmal eine neue Verschlüsselung
* da das zu verschlüsselnde PW auf 32 Zeichen verlängert wurde, kann der Angreifer nicht erkennen wie lange das ursprüngliche PW ist

Geändert von sx2008 (11. Apr 2013 um 14:51 Uhr)
  Mit Zitat antworten Zitat