Moyens sécurisés pour stocker des infos sous windows?

Signaler
Messages postés
223
Date d'inscription
mercredi 13 juillet 2005
Statut
Membre
Dernière intervention
8 août 2011
-
Messages postés
223
Date d'inscription
mercredi 13 juillet 2005
Statut
Membre
Dernière intervention
8 août 2011
-
Bonjour,

Mon application se lance au démarrage et demande une authentification, la j'utilise la base de registre pour initialiser les paramètres de l'application mais niveau sécurité c'est bidon puisque tous les paramètres dont le mot de passe apparaissent noir sur blanc dans la BDR.
Je voudrais donc savoir quels sont les moyens sécurisés pour stocker un mot de passe sous windows ?

Merci d'avance

12 réponses

Messages postés
755
Date d'inscription
samedi 15 mai 2004
Statut
Membre
Dernière intervention
30 janvier 2011

sa m'interesse aussi :)
Messages postés
241
Date d'inscription
vendredi 23 mai 2003
Statut
Membre
Dernière intervention
8 octobre 2007
1
Salut,

Moi j'opterais pour le hash :
<< Les Fonctions de Hash >>

++

eRoZion
Messages postés
223
Date d'inscription
mercredi 13 juillet 2005
Statut
Membre
Dernière intervention
8 août 2011

Ok merci,

"Un mot de passe ne doit pas être stocké en clair sur une machine pour des raisons de sécurité.
Seul le résultat du hachage du mot de passe est donc stocké. Pour
identifier un utilisateur, l'ordinateur compare l'empreinte du mot de
passe d'origine (stocké) avec l'empreinte du mot de passe demandé."

Et cette fameuse empreinte il faut la stocker ou ? parce que si on la stock dans la BDR elle peux être modifiée.
Messages postés
755
Date d'inscription
samedi 15 mai 2004
Statut
Membre
Dernière intervention
30 janvier 2011

md5 ferait l'affaire
Messages postés
755
Date d'inscription
samedi 15 mai 2004
Statut
Membre
Dernière intervention
30 janvier 2011

tu enregistre le pass en MD5 dans la base : exemple hash de "pass" : WWWWX
puis pour verifier l'entrer tu fais :
if(md5(entrer) == WWWWX)) { resultat };
Messages postés
223
Date d'inscription
mercredi 13 juillet 2005
Statut
Membre
Dernière intervention
8 août 2011

Ok, mais si quelqu'un trouve l'empreinte dans la base et le modifie, je ne pourrais plus m'authentifier sur l'application, pire il pourrait même la remplacer par une empreinte d'un mot de passe qu'il connait et ainsi avoir accès à l'application ?
Messages postés
746
Date d'inscription
vendredi 17 juin 2005
Statut
Membre
Dernière intervention
23 mai 2007
8
Dans ce cas là, tu opte pour un procédé de cryptage avec clé privée : il faudra en plus la clé pour trouver le mot de passe.

Imaginons que tu crypte ton mot de passe en RSA avec en clé publique(il ne faut pas la donner même si elle est publique) (5;7) et en clé privée (12;35) (les clés sont bidons, j'ai pas fait les calculs). Si quelqu'un change le mot de passe crypté dans la base de données, il lui faut la même clé de cryptage que celle utilisée dans l'application, ce qui rend le remplacage impossible.

J'espère que tu aura tout compris, car j'ai du mal à expliquer...
Messages postés
755
Date d'inscription
samedi 15 mai 2004
Statut
Membre
Dernière intervention
30 janvier 2011

XOR sinon ferait l'affaire aussi.
Messages postés
746
Date d'inscription
vendredi 17 juin 2005
Statut
Membre
Dernière intervention
23 mai 2007
8
Il y a une clé pour un cryptage XOR ? Je savais même pas tiens... Il va falloir que je revoie un peu tout ça...

//Libère ma mémoire que j'ai utilisé
this->GetCurrentConversation()->FreeAllocatedMemory(REASON_UNUSED);
Messages postés
475
Date d'inscription
dimanche 3 octobre 2004
Statut
Membre
Dernière intervention
11 août 2006
3
moi je conseil sha plutot que md5
Messages postés
571
Date d'inscription
vendredi 30 décembre 2005
Statut
Membre
Dernière intervention
12 juillet 2012
3
Le niveau de cryptage dépend du degré d'importance de l' application:

pas obligé de faire ses courses avec un 38 tonnes.


Un site qui regorge d'idées sympas:

http://www.apprendre-en-ligne.net/crypto/menu/index.html
Messages postés
223
Date d'inscription
mercredi 13 juillet 2005
Statut
Membre
Dernière intervention
8 août 2011

Ok, merci a tous pour les idées, ben je suis d'accord avec katsanka j'ai pas envi de me prendre la tête avec du MD5 ou du RSA, je vais surement opter pour du XOR. Mon application est destinée à la vente donc il faut qu'elle soit un minimum sécurisée, cela dit j'en vendrai pas des millions d'exemplaires (enfin je pense pas lol). Le seul truc qui me gène avec le cryptage c'est qu'il soit stocké dans la base de registre donc qu'il soit modifiable.
J'ai pas trop compris [auteurdetail.aspx?ID=535688 nightlord666]le coup de la clé privé/publique "Si quelqu'un change le mot de passe crypté dans la base de données, il
lui faut la même clé de cryptage que celle utilisée dans l'application", à partir du moment ou il modifie le cryptage dans la BDR ya plus moyen de récuperer le pass si?