Password anmeldung

Hi,

wie könnte man eine vernünftige Password anmeldung in ein Programm einbauen. Ich habe für die Arbeit ein Programm geschrieben, welches bei der Installation ein Master Passwort verlangt mit dem man sich anmelden kann.

In das Programm kann ich es nicht einbauen, dies führte zu einer erneuten Komplimierung führen, in eine Datei speichern ist auch schlecht, man müsste die Datei nur austauschen, in die Registry geht auch nicht, man kann ja beides austauschen.

Mein Arbeitskollege meinte, man kann ja eine MD5 checksum + Passwort speichern, beides kann man nun aber wieder austauschen.

Vorschläge ?
 
Das einfachste wäre es, den Hash in einer Datei zu speichern, für die der Angreifer keine Schreibrechte besitzt.
Mein Arbeitskollege meinte, man kann ja eine MD5 checksum + Passwort speichern

Das Passwort im Klartext abzuspeichern ist eine wirklich schlechte Idee, zumal die MD5-Summe dadurch überflüssig würde.
 
Machs doch so wie die ganzen anmelde/authentifizierungsdienste unter windows oder linux.
unter linux z.B. gibts die library PAM, die das passwort eines Benutzers nimmt, mit md5 oder ähnlichem und salt hasht und dann in einer für normale benutzer nicht zugänglichen datei (z.B. /etc/shadow/) nachschaut, ob das passwort stimmt.

Was du also machen musst, ist einfach auch eine datei, auf die nur privilegierte benutzer zugreifen dürfen, unter windows z.B. 'SYSTEM' und dann das programm als ebendieser Benutzer ausführen. Gibt es sowas wie das SetUID-bit unter windows?
 
Das Passwort im Klartext abzuspeichern ist eine wirklich schlechte Idee, zumal die MD5-Summe dadurch überflüssig würde.

Er meinte eigentlich :

Password verschlüsseln
Klartext md5sum bilden


Bei der Anmeldung
Password entschlüsseln und den Klartext dann mit der md5sum vergleichen, dass Problem mit der Datei bleibt.

Was du also machen musst, ist einfach auch eine datei, auf die nur privilegierte benutzer zugreifen dürfen, unter windows z.B. 'SYSTEM' und dann das programm als ebendieser Benutzer ausführen. Gibt es sowas wie das SetUID-bit unter windows?

Nehmen wir mal an, der Peter sitzt an seinem XP Home Rechner und meldet sich von Programm ab und geht pinkeln. Hans kommt an den Rechner von Peter und tauscht die Datei unter 'SYSTEM' aus, da ja Peter noch am System angemeldet ist.

Irgendwas nettes muss es doch geben ?(
 
Original von DawenHans kommt an den Rechner von Peter und tauscht die Datei unter 'SYSTEM' aus, da ja Peter noch am System angemeldet ist.

'Peter' ist aber nicht 'SYSTEM', sondern 'Peter'

SYSTEM ist so ähnlich wie root unter linux. Wenn ein böser Benutzer zugriff auf das benutzerkonto eines normalen benutzers bekommt, kann er auch nicht einfach die Dateien vom Benutzer root austauschen...
 
Zurück
Oben