Du vergisst, dass manche dieser Tools auch im Hintergrund laufen und jegliche Eingabe in solchen speziellen Feldern aufzeichnen. Wenn man ein Feld verwendet, das nicht als solches erkennbar ist, erschwert man solche Angriffe. Denn jegliche Tastatureingaben als Passwort zu probieren oder versuchen zu identifizieren oder ähnliches wäre natürlich sehr aufwendig und daher für die breite Masse an Angriffen nicht denkbar.

Dass man vorhandene Passwörter nicht bei einem Aufruf des Formulars zum Ändern in ein solches Textfeld lädt, ist klar. Im Normalfall liegt ein solches Passwort aber auch gar nicht vor (sondern nur als Hash), wenn es nicht gerade um gespeicherte Logindaten für ein Fremdsystem wie in einem FTP-Tool geht.

Danke erstmal...
...eben. Das besagte Tool nimmt eigentlich nur die Sternchen weg...auch während der Eingabe.
Irgendwann muß man das Password eingeben (Login etc.)

Mich hatte nur verwundert, daß mein in der EXE "gespeichertes" Edit manipuliert wird. (Sternchen weg)

Für die Eingabe kann man auch das OnKey-irgendwasereignis des Formulars nehmen, das Passwort in 'ne Variabel stecken und in 'nem Label, 'nem (ansonsten völlig funktionslosen) Edit jeweils 'nen Stern ausgeben oder was anderes oder aber auch garnix: Sprich: Im Formular nur die Zeichen annehmen und bei #13 oder 'nem passenden Buttonklick die Eingabe als beendet betrachten. #9 nimmt das letzte Zeichen aus der Eingabe wieder weg, falls mal wer das letzte Zeichen korrigieren will, möchte, muss oder so ..., #27 schließt das Formular und bricht den Anmeldevorgang ab.

Wenn Anwender meinen, sie müssten die Eingabe mit irgendwelchen "externen Tools" überwachen, kann man sie die Eingabe auch in 'nem absoluten Blindflug machen lassen.

Oder: Zeichen eingegeben, piiieeept der Lautsprecher als Hinweis: "Zeichen ist angekommen", aber keine optische Anzeige dazu machen, oder in 'nem Label einfach nur die Anzahl der bisher eingegebene Zeichen anzeigen. Wer weiß, dass sein Passwort zwölf Zeichen lang ist, weiß dann, wenn er dort die zwölf sieht, dass er zwölf Zeichen eingegeben hat und damit wohl die Passworteingabe abgeschlossen ist. Er kann dann den Anmeldebutton drücken (oder es auch sein lassen )

Und Copy&Paste oder Tools zum automatischen Ausfüllen, ... funktionieren bei sowas dann auch nicht (mehr) (hoffentlich ).

Du muss nur irgendwie an das Handle des Edits kommen, dann kannst du das mit EM_SETPASSWORDCHAR ausschalten.

...dämlich.

Nunja, das TEdit dürfte das ja genauso machen.

Wie wäre es mit der Vorgehensweise ganz nach dem Prinzip: Ein Paßwort kann über das Handle des Edits und EM_SETPASSWORDCHAR nicht abgefangen werden, wenn man es gar nicht eingibt. Also das Paßwort auf einem USB-Dongle ablegen und zum Identifizieren des Users den Dongle kurz in den USB-Slot stecken lassen.
Meine Idee ist bestimmt einfältig und umständlich...
Andreas

Warum nicht einfach per Timer alle paar MS selber die EM_SETPASSWORDCHAR Nachricht an das betreffende Edit schicken?
Dann kann das Tool daas ruhig mal ausschalten, gleich danach ist's halt wieder an