Moyens sécurisés pour stocker des infos sous windows?
HeavenForsaker
Messages postés223Date d'inscriptionmercredi 13 juillet 2005StatutMembreDernière intervention 8 août 2011
-
26 juin 2006 à 23:22
HeavenForsaker
Messages postés223Date d'inscriptionmercredi 13 juillet 2005StatutMembreDernière intervention 8 août 2011
-
1 juil. 2006 à 15:15
Bonjour,
Mon application se lance au démarrage et demande une authentification, la j'utilise la base de registre pour initialiser les paramètres de l'application mais niveau sécurité c'est bidon puisque tous les paramètres dont le mot de passe apparaissent noir sur blanc dans la BDR.
Je voudrais donc savoir quels sont les moyens sécurisés pour stocker un mot de passe sous windows ?
Merci d'avance
A voir également:
Moyens sécurisés pour stocker des infos sous windows?
HeavenForsaker
Messages postés223Date d'inscriptionmercredi 13 juillet 2005StatutMembreDernière intervention 8 août 2011 27 juin 2006 à 00:19
Ok merci,
"Un mot de passe ne doit pas être stocké en clair sur une machine pour des raisons de sécurité.
Seul le résultat du hachage du mot de passe est donc stocké. Pour
identifier un utilisateur, l'ordinateur compare l'empreinte du mot de
passe d'origine (stocké) avec l'empreinte du mot de passe demandé."
Et cette fameuse empreinte il faut la stocker ou ? parce que si on la stock dans la BDR elle peux être modifiée.
wxccxw
Messages postés755Date d'inscriptionsamedi 15 mai 2004StatutMembreDernière intervention30 janvier 2011 27 juin 2006 à 01:10
tu enregistre le pass en MD5 dans la base : exemple hash de "pass" : WWWWX
puis pour verifier l'entrer tu fais :
if(md5(entrer) == WWWWX)) { resultat };
HeavenForsaker
Messages postés223Date d'inscriptionmercredi 13 juillet 2005StatutMembreDernière intervention 8 août 2011 27 juin 2006 à 08:06
Ok, mais si quelqu'un trouve l'empreinte dans la base et le modifie, je ne pourrais plus m'authentifier sur l'application, pire il pourrait même la remplacer par une empreinte d'un mot de passe qu'il connait et ainsi avoir accès à l'application ?
nightlord666
Messages postés746Date d'inscriptionvendredi 17 juin 2005StatutMembreDernière intervention23 mai 200710 27 juin 2006 à 10:46
Dans ce cas là, tu opte pour un procédé de cryptage avec clé privée : il faudra en plus la clé pour trouver le mot de passe.
Imaginons que tu crypte ton mot de passe en RSA avec en clé publique(il ne faut pas la donner même si elle est publique) (5;7) et en clé privée (12;35) (les clés sont bidons, j'ai pas fait les calculs). Si quelqu'un change le mot de passe crypté dans la base de données, il lui faut la même clé de cryptage que celle utilisée dans l'application, ce qui rend le remplacage impossible.
J'espère que tu aura tout compris, car j'ai du mal à expliquer...
HeavenForsaker
Messages postés223Date d'inscriptionmercredi 13 juillet 2005StatutMembreDernière intervention 8 août 2011 1 juil. 2006 à 15:15
Ok, merci a tous pour les idées, ben je suis d'accord avec katsanka j'ai pas envi de me prendre la tête avec du MD5 ou du RSA, je vais surement opter pour du XOR. Mon application est destinée à la vente donc il faut qu'elle soit un minimum sécurisée, cela dit j'en vendrai pas des millions d'exemplaires (enfin je pense pas lol). Le seul truc qui me gène avec le cryptage c'est qu'il soit stocké dans la base de registre donc qu'il soit modifiable.
J'ai pas trop compris [auteurdetail.aspx?ID=535688 nightlord666]le coup de la clé privé/publique "Si quelqu'un change le mot de passe crypté dans la base de données, il
lui faut la même clé de cryptage que celle utilisée dans l'application", à partir du moment ou il modifie le cryptage dans la BDR ya plus moyen de récuperer le pass si?