Sicherheitslücken- verschlüsselung gesucht
 

Ich hab ein Programm geschrieben, dass in der Domaine arbeitet. Dazu musste ich in dem Programm Benutzername und PW Hardcore hinterlegen.

Mein Problem, wenn ich die Exe in den Editor.exe ziehe kann ich ohne weiteres die Strings auslesen.

1. Wie kann ich sie Verschlüsseln Das sie nichtmehr Auslesbar sind.

2. Kann ich wenn das Programm das Erste mal gestartet wird Benutzername und Passwort abfragen und es dann Verschlüsselt hinterlegen und auch wider für das Programm entschlüsseln, sodass ich es garnicht erst im Programm hinterlegen müsste und wie sicher sind diese Verfahren?

schönen Gruß
Manuel

Re: Sicherheitslücken- verschlüsselung gesucht
 

schwer. Zum verschlüsseln musst du ja das Passwort auch in der Exe hinterlegen. Du verschiebst das Problem also nur und machst es etwas schwieriger.

Natürlich geht das. Und das ganze isz so sicher wie der Algorithmus und das Passwort, welches zum verschlüsseln genutzt wird. Nur hier hast du ja auch wieder das Problem, wohin mit dem Passwort. Am sichersten ist es immer noch die Logindaten niergens zu speichern. Denn was hast du davon, wenn du einmal die Logindaten abfragst und dann speicherst? Dann kann ja doch wieder jeder das Programm starten.

Re: Sicherheitslücken- verschlüsselung gesucht
 

es geht nicht um den start ^^ Das Programm mappt für ein Update ein Domainlaufwerk von der es die neue Exe Zieht.

es geht nur um das Mappen vom Laufwerk, für das Programm selbst muss der User dann Sein persönliches PW mit benutzernamen hinterlegen, dass hat was mit der Netzwerkherachie zu tun

Re: Sicherheitslücken- verschlüsselung gesucht
 

zB so könnte es gehen..

Du nimmst dir eine Verschlüsselungsmethode die eingleisig ist, dass heisst ein Wort verschlüsselt, kann nicht mehr entschlüsselt werden (Hash).

Mit dieser Methode erzeugst du dir das verschlüsselte Passwort.
Dieses Passwort legst du hardcodet, in eine Datei, in eine Datenbank oder wo auch immer hin.

Gibt jemand im Programm ein Passwort ein, verschlüsselst du dieses Passwort mit derselben Methode.

Jetzt holst du dir deinen verschlüsselten Wert und vergleichst.

Re: Sicherheitslücken- verschlüsselung gesucht
 

Hardcoded, bitte. Nicht Hardcore. Woran du schon wieder denkst. :mrgreen:

Re: Sicherheitslücken- verschlüsselung gesucht
 

Das funktioniert in diesem/seinem Fall nicht. Er braucht die Windows Benutzerdaten, um das Laufwerk zu mappen. Und diese will er hinterlegen. Da würdemir nur einfallen, das Netzlaufwerk so zu konfigurieren, dass es ohne Passwort geht.

Re: Sicherheitslücken- verschlüsselung gesucht
 

und genau daran hängt es. Leider bin ich nicht Admin und kann über das Laufwerk nicht entscheiden und die Rechte sind halt nunmal leider so vergeben.

Ich werde nun die Benutzerdaten Verschlüsselt in einer Datei Hinterlegen und sie im Programm entschlüsseln. Ich denke das es in diesem Fall diese Methode am besten ist.

Kann mir jemand eine Verschlüsselung empfelen oder wie ich am besten Vorgehe eine Eigene zu schreiben

Re: Sicherheitslücken- verschlüsselung gesucht
 

Blowfish ist recht sicher und Freeware-Lizenz.

Re: Sicherheitslücken- verschlüsselung gesucht
 

1. kann ich das programm intern benutzen?

2. wie komme ich da ran? google.de ? oder suche ?

Re: Sicherheitslücken- verschlüsselung gesucht
 

Hallo,

Ein Vorschlag:

Eine INI-Datei nehmen:

Diese ist verschlüsselt, auch die einzelnen Sektions ([irgendwas]).
Die Werte links vom Gleichheitszeichen verschlüsselst Du z. B. mit der verschlüsselten Bezeichnung der Sektion, die Werte rechts vom Gleichheitszeichen mit dem Verschlüsselten Wert links vom Gleichheitszeichen (lass Deiner Phantasie freien Lauf).
Im Programm muss Du dann nur noch den Schlüssel zum verschlüsseln bzw. entschlüsseln der Sektionüberschriften speichern.
Wer diesen Schlüssel knackt, kann damit noch nicht die anderen Werte lesen, da er nicht weiß, in welcher Kombination und nach welchen Mutationen Du die weiteren Schlüssel aufgebaut hast. Wer das Knacken will hat zumindest viel Arbeit.

Zu Quelltexten schau mal bei http://www.koders.com/delphi/fidF727...px?s=algorithm

Diese Quelle habe ich vor längerer Zeit mal genutzt, um genau so ein Problem, wie Du es hast zu lösen, es ging halt nicht um Laufwerksverbindungen, sondern um Anmeldungen an diversen Datenbanken, aber das kommt auf's Gleiche heraus.