Безопасное хранение пароля пользователя

Question

Weageoo @Weageoo

Безопасное хранение пароля пользователя

Есть приложение на C# .NET. В нём есть CheckBox «Запомнить пароль».

Вопрос: Как лучше всего организовать безопасное хранение пользовательского пароля? Читал, что можно шифровать при помощи машинного ключа(UPD: скорее, такой вариант проходит только для ASP.NET-приложений, не для десктопных), но уже не припомню где. Какой подход самый приемлемый или популярный? Ткните носом в хороший пример.

UPD1: Есть подозрения, что нужно использовать
-> System.IO.IsolatedStorage Namespace
-> Windows Crypto API

UPD2: Решение практически найдено, но полной уверенности в правильности подхода нет. Собираюсь использовать класс System.Security.Cryptography.ProtectedData, инкапсулирующий функциональность Windows Data Protection API (DPAPI). Я избрал верный путь?

UPD3: Окончательно остановился на System.Security.Cryptography.ProtectedData. Подробнее о DPAPI в .NET читать тут и тут.

Вопрос задан более трёх лет назад
10162 просмотра

2 комментария

Подписаться 6 Оценить 2 комментария

philpirj @philpirj

А в чём вообще смысл шифрования хранимых локально данных, если тут же локально будет всё, чтобы их расшифровать? Вы от чего собираетесь обезопаситься? От кражи содержимого всего сервера?

Написано более трёх лет назад
Weageoo @Weageoo Автор вопроса

Какого сервера? Возможно, вы не поняли суть проблемы и способ её решения. Разъясняю.

1) Некоторый пользователь, имеющий учётную запись на машине с ОС Windows (2000 и выше) входит в систему под своей учётной записью;
2) Этот же пользователь запускает (первый раз) некоторое приложение (клиент к какому-либо интернет-сервису, напр., Skype) вводит свой логин, пароль, ставит галочку «Запомнить пароль».
3) Приложение использует функции Windows Data Protection API для шифрования пароля (или пары имя/пароль), сохраняет полученную строку в конфигурационный файл приложения (в ресстр, в БД);
--> Внимание! Раз пароль зашифрован с помощью DPAPI, то извлечь его обратно возможно только на той же машине (scope = DataProtectionScope.LocalMachine) или же только под тем же пользователем (scope = DataProtectionScope.CurrentUser).
4) В следующий раз, когда пользователь заходит в приложение, оно извлекает пароль из конфигурационного файла, и подставляет его в поле Password.

От чего мы защищаемся:
От кражи пароля другим пользователем на этой машине или пользователями других машин, соединённых с рассматриваемой по сети. Мы получаем способ безопасного хранения пароля на жёстком диске, не опасаясь кражи.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

2 комментария

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Шифрование

Средний
Возможно ли взломать шифр Вернама на псевдослучайных числах?
- 2 подписчика
- 17 апр.
- 154 просмотра
4

ответа
Шифрование

Средний
Насколько отличается шифр Вернама через суммирование и xor??
- 2 подписчика
- 16 апр.
- 68 просмотров
1

ответ
Debian

+1 ещё

Простой
Как автоматически расшифровывать root раздел через usb ключ?
- 1 подписчик
- 15 апр.
- 48 просмотров
0

ответов
C#

+1 ещё

Простой
Как разделить UI и логику десктоп приложения C#?
- 1 подписчик
- 06 апр.
- 161 просмотр
2

ответа
Linux

+1 ещё

Средний
Как обезопасить клиентские ПК? шифрование?
- 2 подписчика
- 05 апр.
- 807 просмотров
1

ответ
C#

+4 ещё

Средний
Почему Visual Studio 2022 не видит .NET Framework 4.8.1 при создании проекта?
- 4 подписчика
- 01 апр.
- 1054 просмотра
0

ответов
C#

+1 ещё

Простой
Почему всё выводится в одну строку?
- 1 подписчик
- 29 мар.
- 165 просмотров
3

ответа
ASP.NET

+3 ещё

Средний
Как сделать редирект на refresh-token когда получаю AuthenticationFailed на asp.net core web api?
- 1 подписчик
- 26 мар.
- 81 просмотр
2

ответа
Информационная безопасность

+1 ещё

Простой
Является ли мой алгоритм криптостойким? Если нет, то где его уязвимость?
- 1 подписчик
- 22 мар.
- 290 просмотров
3

ответа
C#

+2 ещё

Простой
Как должна работать система актером на примере akka.net?
- 1 подписчик
- 19 мар.
- 42 просмотра
1

ответ
Показать ещё Загружается…

Backend разработчик C# (.Net)

FS Travel

от 200 000 до 250 000 ₽

.NET разработчик (senior)

Платформа

от 250 000 до 350 000 ₽

Middle+ .Net(C#) developer

Zam.io

от 200 000 до 300 000 ₽

Тестовое приложение для коннекта по SIP

20 апр. 2024, в 09:15

8000 руб./за проект

Сканер коэффициентов в букмекерских конторах

20 апр. 2024, в 08:39

100000 руб./за проект

Доработать бота

20 апр. 2024, в 08:24

1500 руб./за проект

А в чём вообще смысл шифрования хранимых локально данных, если тут же локально будет всё, чтобы их расшифровать? Вы от чего собираетесь обезопаситься? От кражи содержимого всего сервера?

Answer 1 · 2011-04-20 23:20:03

Идеальный вариант преобразование пароля в хэш-код и хранения в базе именно хэша.
Особо популярные SHA-1 MD5 хэши, в .Net есть встроенные функции по генерированию хэшей.
Пример: пароль «пароль» преобразовывается в «5b2ff20a6d9ac7899fe8d9e8e35cc922» и заносится в базу. При последующей валидации пароля проверяется хэш введенного пароля и хэша из базы.

Answer 2 · 2011-04-21 02:41:01

Могу ошибаться, но Jabber вроде поддерживает авторизацию по хешированному паролю, без передачи исходного пароля. Если вы, конечно, пишете jabber-клиент, а не сервер.

Безопасное хранение пароля пользователя

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт