Prinzip:

User meldet sich an, vergibt ein Passwort
Aus dem Passwort wird der Hashwert berechnet und abgespeichert

User meldet sich wieder an, gibt Passwort ein.
Aus dem Passwort wird der Hashwert berechnet und mit dem schon gespeicherten verglichen.
Stimmt der Hashwert überein, so ist es ok

Nein, ich verzichte ganz auf ein Passwort, möchte nur verhindern das jeder gleich die Datei so findet.

Das mit dem Passwort hätte ich nur im Notfall so gemacht.

Also ich habe ein Programm mit dem ich eine Datei öffne, der Pfad dahin soll aber verschlüsselt sein. Es soll also nicht bekannt werden, wie die Datei heißt.

Passworteingabe bei jedem Öffnen fällt aber eigentlich auch aus.

Mit so einem Tool

http://www.chip.de/downloads/Filemon-7.04_13007954.html

ist das in nicht mal 1 Min ausgehebelt

Das Tool ist jetzt zusammen mit RegMon

http://technet.microsoft.com/de-de/s.../bb896645.aspx

Naja gut, das ist mir klar. Wenn jemand während der Aktion das Programm laufen lässt, bekommt er auch die Datei.

Bei mir ist es aber so, das ich einen USB-Stick mit ca. 1000 Dateien habe. Eine ist mir wichtig. Jetzt will ich ein Programm schreiben was das Anstecken des USB-Sticks erkennt und dann nach dieser Datei sucht. Wird sie gefunden, wird der Pfad an ein weiteres Programm übergeben und dort dann verwendet.

Das ist mal ne interessante Diskussion, die es wahrscheinlich häufiger gibt :-)

Wie würdet ihr das denn machen? Wenn ihr eine Anwendung habt, welche die Informationen in einen Access-Datei schreibt. Das heißt, das Passwort würde sich in dem Fall ja nicht ändern.

Irgendwo muss ja das Passwort hinterlegt sein, egal ob in der Anwendung oder in einer verschlüsselten Datei.

Gleiches Problem hat man ja auch bei einer verschlüsselten Lizenzdatei. Für die Verschlüsselung muss ja auch ein Passwort hinterlegt werden.

Der ".Net reactor" könnte die Dekompilierung bestimmt verschleiern, aber nicht gänzlich verhindern können.
http://www.heise.de/software/downloa..._reactor/26102

Bin mal gespannt :-)

Gruß
derOptimist

Kopf des Anwenders oder ein Dongle fallen mir da spontan als ~andere ~ relativ sichere Lösungen ein.

Klar ist es so am sichersten mit Token oder mit Benutzereingaben.

Aber ich lasse ja nicht den Anwender entscheiden, wie z. B. eine Lizenzdatei verschlüsselt wird


Spaß beiseite... Pro Installation gibt es eine eigene Accessdatenbank und natürlich eine Anwendung.
Bei der Accessdatenbank handelt es sich um Metadaten, welche der Anwender nicht sehen darf. Deswegen ein globales Passwort, welches in der Anwendung verankert sein sollte, da ja nur die Anwendung (und der Programmierer/Support) das Passwort wissen muss.

Hallo,

welche Metadaten sind es denn. Vllt. reicht schon diese Daten einfach binär zu serialisieren - wenn der Aufbau der Klassen nicht bekannt ist auch die Information in der serialisierten Datei i.d.R. nicht nutzbar.

Aber auch hier der Hinweis: Wenn es jemand wirklich wissen will geht das auch


mfG Gü

Wenn es jemand wirklich wissen will gehts immer. Ich denke man sollte einfach nur DAUs davor schützen das eigene System zu manipulieren, damit es nicht in einen ungültigen Zustand verfällt.

Nein. Um den User vor sich selbst zu schützen würde ja auch ein simpler Hash reichen ohne Verschlüsselung. Dann darf der User noch reinsehen aber jede Manipulation würde erkannt.

Ich finde es bei dieser Art Diskussion immer interessant das sich Entwickler bzw. Softwareanbieter vor dem User schützen wollen. Ich finde es viel wichtiger das sich der User(oder bei Inhouse Applikationen zumindest der Administrator) von der Harmlosigkeit meiner Software versichern können(wenn sie denn wollen). Meine Software liegt immerhin auf deren Rechner. Wenn etwas so schützenswert ist das der Enduser es auf keinen Fall sehen darf dann sollte es auch nicht auf seinem Rechner landen sondern im Internet/Intranet/Server etc. zumindest irgendwo außerhalb seines direkten Zugriffs.

Wenn man ein Passwort automatisch an irgendeine Funktion weitergeben will, also ohne das dieses manuell zum entsprechenden Zeitpunkt eingegeben wird, läuft man immer Gefahr das jemand den Mechanismus aushebelt, dessen sollte man sich bewusst sein. Ein Passwort ist für mich immer so etwas wie ein Zaun man kann den Zaun sehr hoch machen, aber oben ist immer ein Loch drinnen. Mit entsprechend Energie kommt man rein, es ist in einem solchen Fall immer nur eine Frage von Aufwand und Nutzen. Manchmal ist der Aufwand das Passwort oder den Mechanismus auszuhebeln so hoch das es dem Nutzen nicht mehr gerecht wird, was dann in der Regel als sicher deklariert wird.

Zum eigentlichen Problem, zumindest wie es zu Beginn beschrieben wurde. Hier dürfte das speichern des Hashwertes nicht zu gewünschten Ergebnis führen, denn er will ja nicht das seine App einen gültigen Benutzer erkennt, sondern das Passwort an eine Datenverbindung weiterreichen.

Du schreibst eine zweite, sehr kleine, App die nur dem Admin zur Verfügung steht. Lässt dort das Passwort Deiner Wahl eingeben und verschlüsselst das mit einer Verschlüsselung Deiner Wahl und schreibst das Ergebnis in das "Passwort-File". Beim entschlüsseln läuft das ähnlich Du liest den Inhalt des Files aus und lässt es durch die, zu oben verwendeter Verschlüsselung, passende Entschlüsselungsroutine laufen und hast dann im Programm wieder das Klartext Passwort zur Verfügung welches Du dann an Deine Datenverbindung weiter geben kannst.

Gruß Womble

Ich glaube Du hast mich da falsch verstanden Ich will einfach den Enduser davor bewahren irgendwelche Sachen mit Dingen zu machen von denen Sie keine Ahnung haben. Bei uns in der Firma wird sehr oft rumgetrickst und manchmal kommt eben auch murks dabei raus. Ich fände es z.b. auch nicht schön, wenn der User sich mit einem beliebigen DB Frontend an meiner Datenbank vergreifen könnte. Gerade wenns Probleme gibt meinen viele Leute mit Halbwissen Sie wären in der Lage das irgendwie selbst zu Regeln versetzen damit das ganze System in einen ungültigen Zustand und keiner bekommts mit. Danach wars natürlich auch keiner