AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Datenbank-Passwörter speichern

Ein Thema von Jumpy · begonnen am 4. Aug 2015 · letzter Beitrag vom 5. Aug 2015
Antwort Antwort
Seite 1 von 3  1 23      
Jumpy

Registriert seit: 9. Dez 2010
Ort: Mönchengladbach
1.736 Beiträge
 
Delphi 6 Enterprise
 
#1

Datenbank-Passwörter speichern

  Alt 4. Aug 2015, 14:12
Hallo,

der gefühlt 100ste Thread zum Thema Passwort speichern, aber irgendwie hab ich mich in den 5 meist längeren Threads, die ich gerade gelesen habe, (da ging es meistens um FTP-Passwörter) nicht wieder gefunden.

Ich habe ein altes Programm, das nur innerhalb der Firma eingesetzt wird und im Prinzip eine Art Toolsammlung für alle möglichen Aufgaben ist. Das Programm kann dazu auch auf vielen verschiedenen Datenbanken viele verschiedene kleine Dinge tun. Für letzteres hat das Programm für jede der vielen Datenbanken mind. einen Nutzernamen samt Passwort, den es für den Kontakt mit dieser Datenbank nutzen soll, manchmal auch mehrere mit unterschiedlichen Rechten.
Ich habe jetzt gemerkt, da sich ein Datenbank-Passwort geändert hat und eine Funktionalität nicht mehr ging, und ich dem nachgehen sollte, dass sowohl User als auch Passwort im Klartext im Quelltext stehen. Ich habe also das Passwort an der richtigen Stelle geändert, neu kompiliert, fertig.

Aber jetzt wo ich von dieser Geschichte weiß, stört mich das mächtig. Erstens, dass ich jedesmal den Quelltext anpassen und neu kompilieren muss, wenn sich ein Passwort ändert. Viel mehr aber noch, das jeder Kollege (wie jetzt auch ich) einfach nur in den Quelltext gucken muss, um diverse "interessante" andere Dinge auf den Datenbanken machen zu können.

Wie kann ich a) ohne Neukompilieren usw. Passwortänderungen dem Programm zugänglich machen und b) die Passwörter zumindest nicht mehr im Klartext irgendwo stehen zu haben.

Meine Idee ist jetzt, die Passwörter verschlüsselt z.B. in einer Ini-Datei oder Datenbanktabelle stehen zu haben wobei auch Benutzername und Datenbank, die ja sowas wie Sektion und Key der Ini-Datei wären auch zu verschlüsseln.
Das Ganze soll keinem Hacker standhalten sondern verhindern, dass der "normale Sachbearbeiter", also kein anderer Entwickler oder Admin, so einfach an diese Passwörter kommen kann.

Wäre das ein ausreichender Weg und welche Verschlüsselung kann man da einfach nehmen?
Ralph
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#2

AW: Datenbank-Passwörter speichern

  Alt 4. Aug 2015, 14:53
Rot13. Ich meine, wenn man nicht den eignen Mitarbeitern vertrauen kann, wem dann? Oder eine beliebige Cäsar-Chiffre mit der Länge des Benutzernamens als Verschiebung. Oder einfache Verschlüsselung mit Benutzername als Key. Es soll ja nur Deppen (Sorry) und Mitarbeiter, denen man vertrauen sollte, abhalten
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von p80286
p80286

Registriert seit: 28. Apr 2008
Ort: Stolberg (Rhl)
6.659 Beiträge
 
FreePascal / Lazarus
 
#3

AW: Datenbank-Passwörter speichern

  Alt 4. Aug 2015, 15:08
Ich habe ein ähnliches Problem, da habe ich mir mit einer INI-Datei und einer Base64-Codierung für das Passwort geholfen. Und natürlich haben nur 3 UIDs die Möglichkeit, diese Datei auch zu schreiben.

@Luckie
Das mit den Deppen ist nicht so weit hergeholt, letzt hat eine Kollegin eine gutes Drittel eines Datenbestandes geschrottet, nur weil sie eigentlich unnötige Rechte hatte.

Gruß
K-H
Programme gehorchen nicht Deinen Absichten sondern Deinen Anweisungen
R.E.D retired error detector
  Mit Zitat antworten Zitat
Klaus01

Registriert seit: 30. Nov 2005
Ort: München
5.767 Beiträge
 
Delphi 10.4 Sydney
 
#4

AW: Datenbank-Passwörter speichern

  Alt 4. Aug 2015, 15:38
.. warum gibt man den Usern nicht die entsprechenden Passwörter - und läßt sie diese eingeben wenn sie
das Programm nutzen wollen. Dann müssten die Passwörter auch nirgendes gespeichert werden, das gesalzene Passwort Hash würde dann genügen.

Grüße
Klaus
Klaus

Geändert von Klaus01 ( 4. Aug 2015 um 15:45 Uhr)
  Mit Zitat antworten Zitat
Jumpy

Registriert seit: 9. Dez 2010
Ort: Mönchengladbach
1.736 Beiträge
 
Delphi 6 Enterprise
 
#5

AW: Datenbank-Passwörter speichern

  Alt 4. Aug 2015, 15:50
.. warum gibt man den Usern nicht die entsprechenden Passwörter - und läßt sie diese eingeben wenn sie
das Programm nutzen wollen. Dann müssten die Passwörter auch nirgendes gespeichert werden, des Passwort Hash würde dann genügen.

Grüße
Klaus
Das würde dem Sinn des Programms als Eierlegendewollmilchsau wiedersprechen. Abhängig vom (Domäne-)Benutzer kann man mit dem Programm untersch. Dinge tun. Ich kann damit z.B. bei 4-5 ganz anderen Programmen die Passwörter dortiger Benutzer zurücksetzen oder diese nach einer Sperre freischalten usw.
Ich muss mich nicht in dem anderen Programm als Admin anmelden, um das da zu machen und ich muss mir auch nicht für die jeweiligen Datenbanken die hinter den jeweiligen Programmen stehen merken wo das was in welcher Tabelle gespeichert ist, das die Passwortverwaltung beeinflußt und ich muss mir erst recht für diese anderen Datenbanken keine Anmeldedaten merken, oder überhaupt irgendwelche anderen Rechte auf diesen DBs haben.

Es geht hier auch nicht unbedingt um böswilligkeit der Kollegen. Es kam schon vor, dass sich Kollegen für gewisse Programme "hintenrum" über die Datenbank mal kurz zum Admin gemacht haben, um dann im Programm schnell was einfacher ändern zu können und dabei unabsichtlich Konfigurationen zerschießen o.ä.
Ralph
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.142 Beiträge
 
Delphi 10.3 Rio
 
#6

AW: Datenbank-Passwörter speichern

  Alt 4. Aug 2015, 15:58
Das Ganze soll keinem Hacker standhalten sondern verhindern, dass der "normale Sachbearbeiter", also kein anderer Entwickler oder Admin, so einfach an diese Passwörter kommen kann.

Wäre das ein ausreichender Weg und welche Verschlüsselung kann man da einfach nehmen?
na fast egal...

Umsetz Tabelle (Caesar) / Incrementer / Incrementer mit Lauflänge / XOR Tabelle / XOR Tabelle mit PosIncer

Wenn Du noch für die XOR Tabelle den Rechnernamen nimmst, kannst Du die PW Datei sogar für jeden sichtbar machen, da kein Arbeitsplatz mit dem Passwort des anderen funktioniert...

Geändert von Mavarik ( 4. Aug 2015 um 16:18 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#7

AW: Datenbank-Passwörter speichern

  Alt 4. Aug 2015, 16:17
Aus Datenbanklersicht sieht es afaik so aus: Du erstellst für jeden Benutzer (oder zumindest für jede Rolle) einen neuen Datenbankbenutzer. Der hat dann nur die Rechte, die deine Anwendung für diesen Benutzer braucht.
Wenn man es kann, kann man die Anmeldung an der Datenbank oder die Verteilung der Zugangsdaten bestimmt irgendwie in die Domänenverwaltung reinfummeln.

Geändert von BUG ( 4. Aug 2015 um 16:22 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Union
Union

Registriert seit: 18. Mär 2004
Ort: Luxembourg
3.492 Beiträge
 
Delphi 7 Enterprise
 
#8

AW: Datenbank-Passwörter speichern

  Alt 4. Aug 2015, 16:19
Ich hatte gerade vor einger Zeit ein ähnliches Problem und habe es so gelöst:
Delphi-Quellcode:
unit Config.Encoder;

interface

uses
  IdCoderMIME;

type
  TEncoder = class
  private
  class var
    FEncoder : TIdEncoderMIME;
    FDecoder : TIdDecoderMIME;
  public
    class constructor Create;
    class destructor Destroy;
    class function Encode(const AValue : string) : string;
    class function Decode(const AValue : string) : string;
  end;

implementation

{ TEncoder }

class constructor TEncoder.Create;
begin
  FEncoder := TIdEncoderMIME.Create;
  FDecoder := TIdDecoderMIME.Create;
end;

class function TEncoder.Decode(const AValue: string): string;
begin
  Result := FDecoder.DecodeString(AValue);
end;

class destructor TEncoder.Destroy;
begin
  FEncoder.Free;
  FDecoder.Free;
end;

class function TEncoder.Encode(const AValue: string): string;
begin
  Result := FEncoder.EncodeString(AValue)
end;

end.
Ibi fas ubi proxima merces
sudo /Developer/Library/uninstall-devtools --mode=all
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#9

AW: Datenbank-Passwörter speichern

  Alt 4. Aug 2015, 16:33
Das Problem bei diesen Lösungen ist einfach, dass es im Programm eine Verbindung zur Datenbank mit Admin-Rechten gibt.
Im gegebenen Fall (gegen übereifrige Mitarbeiter) mag das noch gehen, im Zweifelsfall übertölpelt ein böswilliger Nutzer das Tool dann doch (SQL-Injektion, Ausführen beliebiger SQL-Kommandos mithilfe eines Debuggers).


Aber klar, ein verschleiertes Admin-Passwort zur Produktivdatenbank ist immer noch besser als es im Klartext liegen zu haben.

Geändert von BUG ( 4. Aug 2015 um 16:43 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von p80286
p80286

Registriert seit: 28. Apr 2008
Ort: Stolberg (Rhl)
6.659 Beiträge
 
FreePascal / Lazarus
 
#10

AW: Datenbank-Passwörter speichern

  Alt 4. Aug 2015, 16:49
vergiß es, "Rolle" ist gut und sollte selbstverständlich sein.

Gruß
K-H
Programme gehorchen nicht Deinen Absichten sondern Deinen Anweisungen
R.E.D retired error detector
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 3  1 23      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:18 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz