One4All - Tester / Ideen gesucht
Übersicht Sonstiges Smalltalk
ozzi789Betreff: One4All - Tester / Ideen gesucht |
Mo, Dez 21, 2009 13:56 Antworten mit Zitat |
|
---|---|---|
Hi
Habe ein kleines Prog geschrieben, das Ziel war mit einem Passwort eine verschlüsselte Datenbank mit vielen Passwörter abzufragen, so muss man sich nur eines merken. Nun klappen tut es schon, nur wäre ich froh um Sicherheitstipps, es gibt sicher ein paar Leute die sich damit auskennen Hier der Download, wer eine Lücke findet bekommt einen Keks zu Weihnachten! One4All.zip Kurze Anleitung: enzippen setpassword.exe starten und ein Kennwort setzen one4all.exe starten mit Kennwort einloggen und frisch fröhlich Sachen speichern Achja die tolle MD5 funktion hat Chester geschrieben, vielen dank! Falls jemand eine gute idee für ein feature hat bitte melden (ich dachte so was wie mehrere Benutzer, also der User hat auf die Passwörter zugriff usw) Big thnx, ozzi |
||
0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5 |
- Zuletzt bearbeitet von ozzi789 am Mo, Dez 21, 2009 22:12, insgesamt einmal bearbeitet
ZaP |
Mo, Dez 21, 2009 15:32 Antworten mit Zitat |
|
---|---|---|
In der hash.dat steht scheinbar das Masterpasswort als MD5, richtig? Das solltest Du auf jeden Fall salzen, sonst kann man das in einer Sekunde entschlüsseln (genug Tools dazu gibt's - einfach mal googlen)
http://de.wikipedia.org/wiki/Salted_Hash Ansonsten erwarten sicherlich die meisten User, dass, wenn man das Passwort setzt, nicht erst auf den Button klicken muss, sondern einfach Enter drücken kann. |
||
Starfare: Worklog, Website (download) |
ozzi789 |
Mo, Dez 21, 2009 16:48 Antworten mit Zitat |
|
---|---|---|
Oh ok werd mir mal des mit dem Salzen anschauen
(enter drücken) Jep werd ich einbauen! thnx Edit: Also wenn ichs richtig verstanden habe, ich gebe das Passwort ein, zmb test123 nun salte ich und es wird zu test123Q#°§| was auch immer, jetzt erstell ich ein md5 hash beim einloggen füg ich einfach Q#°§| dazu Hab ich das richtig verstanden? mfg ozzi |
||
0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5 |
hamZtaAdministrator |
Mo, Dez 21, 2009 20:49 Antworten mit Zitat |
|
---|---|---|
Ja, hast du.
Wie werden denn die Passwörter in der Datenbank verschlüsselt? Wohl kaum mit MD5. hamZta |
||
Blog. |
ozzi789 |
Mo, Dez 21, 2009 21:49 Antworten mit Zitat |
|
---|---|---|
Das verrat ich nicht, der Sicherheit zu liebe
Aber nein es sind keine MD5 hashes Achja ich habe das Masterpasswort gesalzen und dann nocheinmal verschlüsselt (mit der gleichen Methode wie die Passwörter) Dazu habe ich noch ein Captcha eingebaut, wenn das Captcha und/oder das Passwort falsch eingegeben wird, beendet sich die Exe. Um das Captcha auszutriken, ist es nicht immer gleich lang und hat spaces drin, zudem ist das Fenster nicht immer ganz genau in der Mitte. Werde noch die Gui etwas verschönern, ein paar Features dazu.. Achja per Enter gehts jetzt auch weiter mfg ozzi |
||
0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5 |
ZaP |
Mo, Dez 21, 2009 22:01 Antworten mit Zitat |
|
---|---|---|
Das Captcha würde ich nicht als allzu sicher einstufen - zumal sich der Text auf dem Dialog irgendwo im Speicher befindet. Da solltest Du wirklich ein Bild nehmen. | ||
Starfare: Worklog, Website (download) |
ozzi789 |
Mo, Dez 21, 2009 22:11 Antworten mit Zitat |
|
---|---|---|
Es steht nur mit Leerschlägen im Speicher, aber ja das könnte man auch noch lösen, mit dem Bild wird es einfach sehr viel schwerer zu realisieren..
Aber hey ich habe erst gerade angefangen! Bei Killdatabase, wird jetzt das File zuerst noch mit wirrem Zeug überschieben, anstatt einfach gelöscht zu werden, ist das sicher genug? mfg ozzi |
||
0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5 |
FWeinbehemals "ich" |
Mo, Dez 21, 2009 22:26 Antworten mit Zitat |
|
---|---|---|
Ich Frage mich wozu du ein Captcha brauchst? Eigentlich sollte das Passwort doch sicher genug sein. Außerdem, macht ein Captcha System welches auf dem eigenen System läuft doch wenig Sinn, da der Vergleichswert doch schon im Ram liegt. Der Vorteil im Web ist halt, das der Client nie den Klartext des Captchas bekommt, sondern immer nur das Bild. Und der Server dann für das Vergleichen zuständig ist.
MfG ich |
||
"Wenn die Menschen nur über das sprächen, was sie begreifen, dann würde es sehr still auf der Welt sein." Albert Einstein (1879-1955)
"If you live each day as if it was your last, someday you'll most certainly be right." Steve Jobs |
Fredko |
Mo, Dez 21, 2009 22:29 Antworten mit Zitat |
|
---|---|---|
ich: Natürlich ist es so sicher, aber wenn jemand nun einen Bot schreibt,
welcher x-mal in der Sekunde die Felder ausfüllt usw. wird schon mal das eine oder andere Passwort geknackt werden, weswegen so ein Captca Bild schon recht Bot abschreckend ist, da man dann irgendwie das Bild entschlüsseln muss. Sonst sollest du aufjedenfall so ein Captchabild erstellen, und es bloß so verknorkst wie möglich darstellen lassen ozzi, schaut und hört sich nett an |
||
! |
hamZtaAdministrator |
Mo, Dez 21, 2009 22:42 Antworten mit Zitat |
|
---|---|---|
ozzi789 hat Folgendes geschrieben: Das verrat ich nicht, der Sicherheit zu liebe
Aber nein es sind keine MD5 hashes Durch verheimlichen gewinnst du nichts an zusätzlicher Sicherheit. Ich würde dein Teil nie, nie, nie benutzen wenn ich nicht weiß wie die Passwörter verschlüsselt werden. Ich hätte einfach Angst drum dass du Mist gebaut hast und irgendjemand einfach mal draufkommt und alles auslesen kann. Also, wie ists verschlüsselt? hamZta |
||
Blog. |
ozzi789 |
Mo, Dez 21, 2009 22:47 Antworten mit Zitat |
|
---|---|---|
@Fredko
Jep ich bin drann etwas zu schreiben das mir ein Bild macht Mit möglichst vielen unnötig kreierten Variabeln um etwas zu erschweren ^^ @hamZta RC4, der Key setzt sich aus mehreren Sachen zusammen, ist sicher mfg |
||
0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5 |
AnniXa |
Mo, Dez 21, 2009 23:22 Antworten mit Zitat |
|
---|---|---|
das simple text capcha könnte man ja noch aufpoliern indem du manchmal auch verlangst das man - anstelle der leerzeichen setzt, oder eben _
oder das du verlangst das alle buchstaben A zu B ausgetauscht werden, also in nem vorgabe text wie IAWRJG141A soll man nun IBWRJG141B eingeben. |
||
|moonForge|
Ich bin Pokémon Meisterin seit 1998! |
FWeinbehemals "ich" |
Mo, Dez 21, 2009 23:45 Antworten mit Zitat |
|
---|---|---|
Ich bin immer noch der Überzeugung, das ein Captcha System auf dem eigenen Rechner unbrauchbar ist, da:
Zitat: [...] der Vergleichswert doch schon im Ram liegt. Der Vorteil im Web ist halt, das der Client nie den Klartext des Captchas bekommt, sondern immer nur das Bild. Und der Server dann für das Vergleichen zuständig ist.
MfG ich |
||
"Wenn die Menschen nur über das sprächen, was sie begreifen, dann würde es sehr still auf der Welt sein." Albert Einstein (1879-1955)
"If you live each day as if it was your last, someday you'll most certainly be right." Steve Jobs |
AnniXa |
Mo, Dez 21, 2009 23:49 Antworten mit Zitat |
|
---|---|---|
naja bei sowas wo man buchstaben auswechseln soll etc, kann das ergebnis ja erst nach absenden der eingabe erzeugt/errechnet werden.
da wäre also nix mit im speicher. |
||
|moonForge|
Ich bin Pokémon Meisterin seit 1998! |
ozzi789 |
Di, Dez 22, 2009 9:02 Antworten mit Zitat |
|
---|---|---|
Hmm AnniXa jep werde das noch einbauen und ja so mache ich es auch, es wird erst errechnet wenn man auf Enter drückt | ||
0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5 |
Garfield12 |
Di, Dez 22, 2009 18:59 Antworten mit Zitat |
|
---|---|---|
Du solltest eine Funktion einbauen,
dass wenn das Masterpasswort 3 Mal falsch eingegeben wurde das Programm geschlossen wid und erst nach xx Minuten wieder funktioniert, somit wärst du vor BruteForce Attacken gesichert. |
||
Geeecko |
Di, Dez 22, 2009 19:07 Antworten mit Zitat |
|
---|---|---|
Ich würde bei einer falschen Eingabe alle Passwörter erneut verschlüssen, aber mit einem anderen Passwort.
Das heißt, der Benutzer gibt beim installieren 2 oder mehr Passwörter ein. Die Daten werden mit Pass1 verschlüsselt. Bei einer falschen Eingabe wird mit Pass2 verschlüsselt. Nun muss man zuerst mit Pass2 entschlüsseln, und danach mit Pass1. Geschieht dies oft genug, wird eine Bruteforce Attacke schwierig. Liebe Grüße |
||
.... |
XeresModerator |
Di, Dez 22, 2009 19:11 Antworten mit Zitat |
|
---|---|---|
Damit führst du auch augenblicklich den Sinn des Programms ad absurdum...
(Papier und Stift sind am schwersten Hackbar ) |
||
Win10 Prof.(x64)/Ubuntu 16.04|CPU 4x3Ghz (Intel i5-4590S)|RAM 8 GB|GeForce GTX 960
Wie man Fragen richtig stellt || "Es geht nicht" || Video-Tutorial: Sinus & Cosinus THERE IS NO FAIR. THERE IS NO JUSTICE. THERE IS JUST ME. (Death, Discworld) |
ozzi789 |
Di, Dez 22, 2009 20:28 Antworten mit Zitat |
|
---|---|---|
Garfield12
Wie soll ich das umsetzen? Ich könnte iwo ein File schreiben mit Currenttime() dann vergleichen.. naja aber das kann man einfach austricksen Xeres Nur ist ein Papier schnell verloren, oder von jemandem geklaut (aussert man hat einen Safe zuhause) mfg |
||
0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5 |
Garfield12 |
Di, Dez 22, 2009 21:54 Antworten mit Zitat |
|
---|---|---|
@ozzi789 :
Bin in BB grad nicht drin. Unter C++ würde ich versuchen einen versteckten Prozess des Programms laufen zu lassen (welcher die zeit runterzählt), oder die verbeleibende wartezeit stark verschöüsselt in eine datei zuschreiben. Wobei die erste Variane sicherer sein dürfte. MfG Yannik |
||
Übersicht Sonstiges Smalltalk
Powered by phpBB © 2001 - 2006, phpBB Group