Cześć
Jaki jest bezpieczny sposób na przechowywanie loginu i hasła na dysku? Nie mam tu na myśli aplikacji serwerowej w której trzymamy hash i sól, ale aplikację kliencką, która pamięta raz użyty login i hasło. Coś jak np. klient poczty lub przeglądarka internetowa. Tego typu programy zapamiętują gdzieś lokalnie, prawdopodobnie w pliku, zestaw z loginem i hasłem i przy ponownym uruchomieniu nie musimy tych danych podawać. Domyślam się, że należy wykorzystać jakiś szyfr symetryczny, ale jaki? Gdzie i w jaki sposób trzymać klucz takiego szyfru?
0
0
Chodzi Ci o jakiś password manager?
0
lion137 napisał(a):
Chodzi Ci o jakiś password manager?
Dokładnie tak i nie. W swoim programie mam checkbox'a "pamiętaj mój login i hasło" i teraz muszę te dane jakoś zapisać.
0
Takich programów jest sporo, na Windows Password Safe, a na linuxie, np. Pass.
0
jak przechowujesz na dysku to warto dodawać swoją stałą końcówkę np. hasło z managera+<>?<>? wtedy nawet jak ktoś przejmie hasło to nic nie zrobi
0
Może trochę źle się wyraziłem, więc spróbuję inaczej:
NIE potrzebuję oddzielnego programu typu "password manager" takiego jak Kaspersky Password Manager,
ale
potrzebuję wiedzieć jakiego mechanizmu używają wbudowane "password manager'y" w takie programy jak thunderbird, firefox, IE czy inne tego typu.
Jakich algorytmów używają?
Coś co będę mógł zaimplementować w swojej apce w C/C++ czy w dowolnym innym języku programowania
0
Przypuszczam że korzystają z jakieś bazy danych (np Firefox trzyma je w pliku json, co do innych przeglądarek poszukaj jak przenieść dane z starego profilu na nowy, hasła też się przenosi więc będzie wprost podane w którym pliku siedzą), jakiekolwiek szyfrowanie tego ma sens tylko jeśli jest włączone hasło główne (klucz (de)szyfrujący też musi być gdzieś zapisany, i ktoś może go doczytać, celem rozszyfrowania pliku z hasłami). Inna sprawa że w przeglądarce da się sprawdzić zapamiętane hasła, co czyni formy ich zapisu inne niż jawnie bezsensownymi.
1
Znalazłem bardzo ciekawy artykuł który opisuje metody przechowywania haseł przez 3 najpopularniejsze przeglądarki https://raidersec.blogspot.com/2013/06/how-browsers-store-your-passwords-and.html#firefox Po jego lekturze wychodzi na to, że wszystkie hasła, które nasze aplikacje "pamiętają", mogą być równie dobrze zapisane jawnym tekstem. Jedynie stosowanie hasła głównego do bazy haseł daje realny poziom bezpieczeństwa. Jedyna przewaga stosowania jakiegokolwiek szyfrowania to utrudnienie dostępu do tych danych osobom trzecim. Natomiast co do algorytmu to chyba najlepszy będzie ten najrzadziej używany.
Dzięki wszystkim za pomoc
1
Jeśli traktujesz bezpieczeństwo poważnie to najpierw musisz wiedzieć jak dane hasło jest wykorzystywane.
Przykładowo, jeśli hasło jest używane by zalogować się do serwisu HTTP(S) i używana jest autentykacja Digest to wtedy najlepszym podejściem jest zapamiętywanie wartości HA1 (tez w sposób bezpieczny).
Niestety większość usług korzysta z MD5 podczas digest authentication, ale i tak to jest lepsze niż nic.
HA1 = MD5( <nazwa użytkownika> ":" <realm - wartośc dostarczana przez server> ":" <hasło> )
Wartość HA1 potem może być wykorzystana wielokrotnie, ale nadal trzeba ją trzymać tab bezpiecznie jak się da. Przynajmniej nie ma prostej metody pozyskania hasła otwartym tekstem (trzeba atakować MD5).
Problemem może być warstwa sieciowa aplikacji. Niestety większość bibliotek sieciowych nie pozwala na przekazanie danych logowania w postaci HA1.
Przykładowo używając POCO albo NSURLSession, albo coś od Apache musiałem napisać sobie parser WWW-Authenticate i potem wygenerować odpowiedni nagłówek Authorization.