Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
|
Re: Passswort sicher in die EXE speichern
13. Nov 2005, 14:56
Es ist defacto unmöglich.
Um eine Datenübertragung von A nach B wirklich sicher hinzubekommen müssen A wie auch B einbruchsicher sein. Angenommen B ist ein Server dann ist dies relativ einfach zu bewerkstelligen, wenn wir mal nur die Datenübertragung über ein unsicheres Netzwerk betrachten (also keine Einbrecher oder böswillige Mitarbeiter).
Bei A wird es nun schwieriger. Ist es ein Mensch der sein Passwort im Kopf speichert und ein sehr gutes Passwort gewählöt hat so können wir davon ausgehen das dies einbruchsicher ist.
Ist A aber nur deine eigene Software dann wirst du es niemals sicher hinbekommen wenn die Plattform auf dem deine Software A nicht sicher ist. D.h. wir benötigen ein einbruchsicheres Betriebssystem samt einbruchsicherem Hardware Kernel. Microsoft nennt dies in seinem Palladium den Nexus.
Eine Alternative wäre ein intelligentes Hardware Dongle. Dies funktioniert aber nur dann wenn der Server B direkt mit dem Dongle A deiner Sofwtare die Daten austauschen kann.
Jede andere Lösung wird immer darauf hinauslaufen das du mit Programmiertechnsichen Tricks versuchst es dem "Angreifer" schwerer zu machen. Dies führt zu zwei wesentlichen Konsequenzen:
1.) du musst schlauer sein als eine rießige Gruppe von Angreifern die sich heutzutage sogar sehr gut organisiert haben
2.) du musst mehr Aufwand treiben in deinen Programmeirtechnischen Tricks als der Aufwand der auf Angreiferseite nötig wäre. Sprich die Angreiferseite kannst du als hochtechnisiert betrachten mit entsprechenden Tools.
Ich rate dir also folgendes:
Statt das Passwort in der EXE zu speichern müssen sich die Benutzer deiner Software bei dir registrieren. Du hast damit schonmal die Grundlage geschaffen das jeder Benutzer individuelle Zugangspasswörter bekommt, statt für alle Benutzer das gleiche Passwort zu benutzen. Desweiteren hast du damit einen Service-Vorteil errungen, du musst es nur als solchen verkaufen können. Technologisch ist es nun ein einfaches "illegales" Verhalten deiner Benutzer zu beobachten und entsprechend mit einer Zugangssperre auf den Server darauf zu reagieren.
Du verlagerst also immer mehr Software Funktionen weg von der Client-Software hin auf Server Seite den du ja unter Kontrolle hast. Du schaffst damit die technischen Voraussetzungen deine Benutzer überwachen zu können. Dies kann sogar unter Umständen zusätzliche Geld einbringen.
Man dürfte aus den letzten Sätzen sehr gut schon im WEB bestehende Konzepte wiedererkennen. Zb. Microsofts-Update Philosophie entspricht exakt diesem Konzept.
Gruß Hagen
|