Einzelnen Beitrag anzeigen

Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#12

Re: Passwortabfrage umgehen verhindern

  Alt 11. Jan 2007, 11:38
Zitat:
Wäre es denn nicht, um ein Aushebeln der Passwortabfrage zu erkennen, möglich die Clientdatei (exe)
mit einem Hashcode zu versehen. Den Hashcode in einer Datei auslagern, die Datei verschlüsseln.
Und diesen Hascode beim Start des Programms einlesen und mit einem aktuell erzeugten vergleichen.
Stimmen diese überein, wurde an der Clientdatei nichts verändert und der Passwortabfrage kann vertraut werden.
Somit hast du nun 2 Angriffsflächen für den Hacker statt nur eine

1.) Angreifer ändert Client.exe und muß nur den ausgelagerten Hashcode angreifen, dh. er speichert dort seinen eigenen Hashwert -> Angriff auf externen Hashcode
2.) Angreifer ändert Client.exe und entfernt Hashüberprüfung, Angriff auf Client.exe

Die Methode mit Passwort und verschl. Daten zwingt den Angreifer das Passwort des Anwenders anzugreifen, also nur eine Angriffs-"fläche" die WIR als sicher beweisen müssen. Ohne einen erfolgreichen Angriff kann der Angreifer nicht die wichtigen Daten lesen. Jede Angriffs-"fläche" mehr kostet uns Aufwand sie sicher zu machen.

Man erkennt sehr gut den Unterschied in den Methoden. Eine vollständig geknackte Software würde denoch nicht die verschl. Daten lesbar machen. Also nicht versuchen auf Teufel komm raus die eigene Software zu schützen sondern die Daten des Anwenders. Das hat auch noch einen zweiten Vorteil: Denn die Daten des Anwenders sind sein liebste Stück, das wird er pfleglich behandeln wie ein rohes Ei, deine Software ist nur notweniges Übel zum Zweck. Und für dich als Entwickler ist es ein Agrument aus Sicht des Anwenders deine Software zu kaufen.

Die interessante Frage ist es: Wie kann man gemeinsam genutzte Daten krypographisch so verschlüsseln das mehrere Anwender darauf zugreifen können ohne die Daten als Mehrfachkopien halten zu müssen. Darin besteht nämlich die technologische Herausfoderung.

Und man erkennt auch warum ein reiner Softwareschutz niemals sicher sein wird: Der Anwender ist dann nämlich der potentielle Angreifer !

Gruß hagen
  Mit Zitat antworten Zitat