Ich habe bisher in meiner simplen Passwortverwaltung intern eingebaute, feste User/Passwortkombinationen eingesetzt, damit unser Servicepersonal sich jederzeit in interne Formulare einloggen kann.
Für die normalen Benutzer habe ich eine einfache Passworttabelle, in der User mit Zugriffsrechten eingetragen sind.
Es geht auch nicht um irgendwelche kritischen Prozesse oder Daten. Es handelt sich um Industriemaschinen, bei denen halt der einfache Anlagenbediener nicht an allen Einstellungen rumfummeln soll.

Leider kommt es bei der Inbetriebnahme durch unser Personal öfter (zu oft) vor, daß die Anlagenbediener die intern einprogrammierten Passworte mitbekommen.

Jetzt will/soll ich da etwas umstricken, um die internen Passwörter zu ersetzen. Es soll aber möglichst simpel bleiben, dem Servicepersonal Zugriff zu erhalten.

Hat jemand eine geniale Idee?

Im normal fall würde ich sagen per Datenbank den gespeicherten Hash mit eingegebener Name/Passwort Kombination auf Gleichheit prüfen.

Für Hardkodiertes gibt es meines Wissens nach nichts "sicheres", da kann man nur generelle Zugriffe erlauben oder halt nicht, aber es ist nicht Personenbezogen (was bei einer Datenbank der Fall wäre).


// edit
Eine Überlegung:
In deiner App Gruppen-Richtlinien festlegen (anstelle von Username)
Eine Externe Datei mit Hashes für die Richtlinien generieren (anstelle von Passwort)
Auf diese Weise kann man simpel die Anmeldungspasswörter jederzeit austauschen (am besten mit einem Generator.exe was nur admins starten dürfen)

Also "Generator.exe" stellt einem eine simple GUI mit Feldern für die vergabe von Passwörter für die Richtlinien bereit
Generator speichert den Hash vom den Richtliniennamen + Passwörtern in einer Datei (ini, xml, json etc... oder binär)
Deine App.exe vergleicht in deiner Login Methode nun nur noch das Eingebene (Hash generieren) mit dem was in der Datei (ini, xml, json etc) steht,
bei Gleichheit setze deine Richtlinien für diese Session und lasse den User rein

RfId-Lesegerät, USB-Key ?
Oder soll es eine reine Softwarelösung bleiben ?

Dann wird es schwierig.
Ich mache da gerne einfach 6-stellige PIN-Code-Eingabe, die der Bedienende gut vor anderen abschirmen und schneller eingeben kann.
Ist aber am Ende genauso sicher oder unsicher wie Passworteingabe.

Für die Anmeldung mit erweiterten Rechten wird jedes mal eine zufällige Ziffernfolge generiert und angezeigt (auch zusätzlich als QR-Code).
Aus dieser Ziffernfolge wird nach einem geheimen Algo ein Passwort generiert, das einzugeben ist.

Der Servicemitarbeiter hat eine App auf dem Handy, dass den QR-Code scannt (oder die Ziffernfolge wird eingegeben) und das Passwort berechnet und anzeigt.

Das ist eine sehr gute Idee, die merke ich mir.
Ich habe mal sowas ähnliches, ohne App, mit Hash-Codes gemacht, mit fester Länge 4-6 Ziffern.

Wenn der TE dafür die App bereitstelt ( natürlich mit FMX ) dann könnte das gut klappen.

Für sowas gibt es T-OTP. Time-based One-Time-Passwords (oder auch: Einmalkennwort https://de.wikipedia.org/wiki/Einmalkennwort )

Sind genau die gleichen Dinger, die auch durch alle gängigen Authenticator-Apps (Google Authenticator, Microsoft Authenticator etc.) unterstützt werden.

Die Funktionsweise ist easy: In der Anwendung ist ein Geheimnis hinterlegt (so wie aktuell das Passwort).
Das gleiche Geheimnis ist auch in der Authenticator-App hinterlegt.

Basierend auf dem Geheimnis und der aktuellen Uhrzeit wird in der Authenticator-App ein 6-Stelliger Code generiert.
Der wird in die Anwendung eingegeben. Dort wird der Code auch mit dem gleichen Algorithmus berechnet, und wenn der übereinstimmt ist der User drin.

Da gibts auch ne Implementierung für Delphi: https://github.com/wendelb/DelphiOTP

Eure Mitarbeiter bekommen also einfach den Code aufs Handy in der Authenticator-App und können sich die Passwörter bei Bedarf generieren. Der Kunde kommt nicht rein solange er nicht das Geheimnis aus der .exe extrahiert.
Bei Bedarf könnt ihr auch pro Kunde ein separates Geheimnis generieren und dann hat der Mitarbeiter eben mehrere Einträge in der Authenticator-App.

OTPs sind klasse an der Stelle. Du kannst sowas serverbasiert machen, wenn Du einfach nur allen Serviceleuten eine kleine Handyapp geben willst, damit die alle das gleiche Passwort zu jedem Zeitpunkt angezeigt bekommen. Willst Du es User-Basiert machen, dann baust es halt basierend auf den User-Daten und das Programm generiertdas OTP und die HandyApp generiert mit den gleichen Start-Daten das gleiche OTP

OTP ist das einzig halbwegs sichere, was mir dazu einfällt (wobei es mir erst einfiel, als Phoenix es erwähnte). Ich habe auch schon Delphi-Code dafür irgendwo gesehen. Die App für's Handy wäre eine Standard-App z.B. der Google Authenticator oder wenn's was freies sein darf FreeOTP.

Wenn es simpel bleiben soll dann das Normale Passwort mit aktuellem Datum kombinieren.

Zum Beispiel Tag + Passwort Teil 1 + Monat + Passwort Teil 2 + Jahr.

Oder Das Datum mit fixen Zahlen kombinieren damit das nicht als Datum erkannt wird.

Fido2 und WebAuthn könnten hier auch ins Spiel gebracht werden.
Ich hab mal kleinere Projekte mit dem Webauthn interface von Microsoft bzw. auch die Fido2.dll von Yubico
gemacht..


check https://github.com/mikerabat/DelphiFido2