0 / 0 / 0
Регистрация: 11.05.2015
Сообщений: 3
|
|
1 | |
Аутентификация пользователя с шифрованием учетных данных12.05.2015, 17:42. Показов 3080. Ответов 7
Метки нет (Все метки)
Нужно написать программу аутентификации пользователя. Пользователь вводит логин, пароль, имя домена. Данная информация шифруется (якобы для передачи на сервер, но никуда ничего передавать не надо), потом расшифровывается и сравнивается с имеющимся набором пар "логин-пароль". Заранее благодарна!
0
|
12.05.2015, 17:42 | |
Ответы с готовыми решениями:
7
Контроль учётных записей пользователя Аутентификация пользователя Аутентификация пользователя Jetty, аутентификация пользователя |
309 / 317 / 119
Регистрация: 29.10.2011
Сообщений: 1,006
|
|
12.05.2015, 19:34 | 2 |
Лучше пары "логин-пароль" тоже в шифрованном виде хранить, а шифровать односторонней функцией
1
|
0 / 0 / 0
Регистрация: 11.05.2015
Сообщений: 3
|
|
12.05.2015, 22:57 [ТС] | 3 |
Не могли бы вы мне помочь написать подобную программу?
0
|
141 / 117 / 26
Регистрация: 07.12.2014
Сообщений: 371
|
|
12.05.2015, 23:55 | 4 |
Всё что вам понадобится лежит в пространстве System.Security.Cryptography.Например, можно воспользоваться SHA512 шифрованием.Пример есть тут https://msdn.microsoft.com/ru-... .110).aspx
1
|
[Bicycle Reinventor]
|
|||||||||||
13.05.2015, 09:56 | 5 | ||||||||||
Сообщение было отмечено Vasenyova как решение
Решение
Vigelforts,и как вы потом из хэша SHA512 достанете оригинальные значения? Не вводите людей в заблуждение.
Vasenyova, используйте шифрование AES, там ничего особо сложного нет. Почитать можно тут. И вот реально работающий класс из одного моего проекта. Умеет преобразовывать строку/массив байт в зашифрованный массив байт и обратно.
1
|
309 / 317 / 119
Регистрация: 29.10.2011
Сообщений: 1,006
|
|
13.05.2015, 13:35 | 6 |
А зачем доставать? Если можно получить оригинальные значения, то это не айс. Для аутентификации хэш-функции более предпочтительней. Даже если злоумышленник узнает механизм шифрования и готовую криптограмму, то получить исходный текст не выйдет(практически)
Добавлено через 4 минуты здесь вроде хороший пример Авторизация пользователя с шифрованным паролем (hash random) в приложение
0
|
[Bicycle Reinventor]
|
|
13.05.2015, 13:53 | 7 |
sldp, вы предполагаете, что на сервере БД хранятся пары логин-пасс, клиент авторизуется, посылая хэш, сервер вычисляет хэш из базы и сравнивает результаты?
В такой схеме две уязвимости: 1. Перехват трафика. Злоумышленнику и ни к чему знать способ шифрования или оригинальный пароль, он просто перехватит сообщение пользователя с хэшем и авторизуется используя его. 2. Взлом БД сервера - доступ ко всем паролям. Даже если там хранятся хэши - доступ ко всем хэшам, по которым происходит аутентификация. Решение состоит в использовании паттерна "дайджест аутентификации", использующего хэширование совместно с симметричным/ассиметричным шифрованием и уникальным идентификатором сессии для каждого соединения. В таком случае даже декомпиляция клиентской и серверной части, взломы БД и перехват трафика не позволят злоумышленнику авторизоваться. Однако почему я спрашиваю, как пользователь Vigelforts планирует достать из хэша оригинальный текст, так это потому, что задача топикстартера - закодировать и раскодировать обратно. Хэши тут не помогут.
0
|
309 / 317 / 119
Регистрация: 29.10.2011
Сообщений: 1,006
|
|
13.05.2015, 14:13 | 8 |
Exerion, Я согласен, что существует масса атак, которые нужно предотвращать другими способами и полагаться только на этот способ глупо без его связки с другими, но на сколько я знаю при аутентификации зачастую именно хэш-функции используют, а поскольку я сомневаюсь, что человек создавший тему пишет достаточно масштабное рабочее приложение, а скорее либо учебное задание, либо для себя. То в таком случае, если мы где-то храним уже сами хэши, и при вводе пользователя вычисляем новые и сверяем с уже имеющимся, то этого вполне достаточно
0
|
13.05.2015, 14:13 | |
13.05.2015, 14:13 | |
Помогаю со студенческими работами здесь
8
Аутентификация пользователя Yii Аутентификация пользователя firebird 2.1 аутентификация пользователя через header() Аутентификация андроид пользователя сервером Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |