Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Netzwerke (https://www.delphipraxis.net/14-netzwerke/)
-   -   Delphi Online Passwort schutz (https://www.delphipraxis.net/47754-online-passwort-schutz.html)

manakinn 15. Jun 2005 19:26
Online Passwort schutz
 
Hi,

wie kann ich ein Passwortschutz in ein Programm einbauen ?
Das Passwort selbst soll nicht im Programm gespeichert sein,
sondern das Passwort soll in einer Datei auf einem Webserver gespeichert sein, in einer normalen Textdatei oder in einer MySQL Datenbank. Leider hab ich sowas vorher noch nie gemacht, kann mir das jemand bitte erklären ?

danke

Speedmaster 15. Jun 2005 19:31
Re: Online Passwort schutz
 
Passwortschutz kann jemand der gut ASM kann in wenigen Minuten umgehen, auch wenns PW online ist!

Phistev 15. Jun 2005 19:35
Re: Online Passwort schutz
 
Eine Passwort-Abfrage ist einfach nur ein Vergleichen zweier Werte, der eine wurde eingeben (und verschlüsselt, z.B. MD5, SHA1, etc.) und der andere kommt aus der Datei / Datenbank.

manakinn 15. Jun 2005 19:36
Re: Online Passwort schutz
 
Zitat:
Zitat von Speedmaster
Passwortschutz kann jemand der gut ASM kann in wenigen Minuten umgehen, auch wenns PW online ist!
und wenn das passwort verschlüsselt gespeichert ist ?

Phistev 15. Jun 2005 19:39
Re: Online Passwort schutz
 
Das Passwort wird nicht geknackt, die Überprüfung wird einfach umgangen. Ein Vergleich wird entweder über ein CMP oder ein CALL und ein JMP (JZ/JE) realisiert. Wenn das durch NOP (no operation) ersetzt wird...

mr47 15. Jun 2005 19:46
Re: Online Passwort schutz
 
Den einfachsten Schutz (aber auch unsichersten) machst du so:

- Textdatei z.B. auf den Webspace legen. Die Datei enthält das Passwort
- Bei eingabe die Datei vom Server laden
- Öffnen und das Passwort auslesen
Nach dem auslesen am besten SOFORT löschen! Sonst kann der unbefugte ja einfach die Textdate anschauen :wink:
- (evt. entschlüsseln)
- vergleichen

und dann halt gucken obs stimmt.


mfg

malo 15. Jun 2005 20:24
Re: Online Passwort schutz
 
Zitat:
Zitat von mr47
Nach dem auslesen am besten SOFORT löschen! Sonst kann der unbefugte ja einfach die Textdate anschauen :wink:
Aha. Und bei der nächsten Passwortüberprüfung gibt es keinen String mehr, den man vergleichen kann. Gute Idee ;)

alcaeus 15. Jun 2005 20:32
Re: Online Passwort schutz
 
Zitat:
Zitat von malo
Aha. Und bei der nächsten Passwortüberprüfung gibt es keinen String mehr, den man vergleichen kann. Gute Idee ;)
Er meinte die lokale Version ;)
Ich wuerde es gar nicht schon so weit kommen lassen. Inhalt der Datei in einen MemoryStream schreiben, fertig.

Bessere Loesung: Programm fragt Passwort ab, hasht es, schickt den Hash an eine php-Datei aufm Server. Die PHP-Datei vergleicht den Hash mit dem in der DB, und gibt ein Ergebnis zurueck. Vorteil: Der User kann nicht sehn, was ich in der Datenbank mache, da er ja keinen Zugriff auf die php-Datei hat. Nachteil: ich kann die exe so patchen, dass sie auf einen anderen Server geht, um das Passwort zu ueberpruefen. Wenn ich jetzt auch noch rausfinde, was die Antwort enthaelt, dann ist es kein Problem alles so zu patchen, dass ich mit jedem Passwort reinkomme.

Greetz
alcaeus

Jelly 15. Jun 2005 21:18
Re: Online Passwort schutz
 
[quote="alcaeus"]
Zitat:
Zitat von malo
Wenn ich jetzt auch noch rausfinde, was die Antwort enthaelt, dann ist es kein Problem alles so zu patchen, dass ich mit jedem Passwort reinkomme.
Aber in den allermeisten Fällen geht es nicht darum ein Fort Knox zu bauen. Will heissen, dass es immer Wege geben wird, Programme zu hacken. Die Frage ist ob es sich wirklich lohnt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:56 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz