Авторизация в С++

Есть консольное приложение в котором нужно сделать авторизацию и соответственно, нужно логин и пароль зашифровать и хранить в таком файле, где не сможет достать обычный пользователь. Какие функции в С++ есть для шифрования, в какой файле лучше хранить и как всё это лучше сделать ? Заранее спасибо.

П.С. можно ли будет потом изменить зашрифораный логин и пароль через отдельно написанную функцию ?

0

замена букв?

0

А зачем хранить логин и пароль. Такое делать ни в коем случае нельзя, ведь можно будет дезассемблировать программу, посмотреть куда она сохраняет и расшифровать логин и пароль.
Используй стойкие хэши. ЕМНИП, это должно подойти.

0

AnyOne697, но в переменных хранить мне тоже не вариант ибо ещё надо сделать функцию для изменения логина и пароля и соответственно при новом заходе в программу должны уже использоваться новый логин и пароль. А судя из ссылки которую ты дал, она не подходит мне

0

neic777, Логин сохраняется как есть. Для пароля хранится хэш. При попытке логина переданный пароль хешируется и хеши сверяются. При изменении пароля сверяем хэши старого и переданного, устанавливаем новый (сохраняем хэш) и радуемся.

0

Сообщение от neic777 П.С. можно ли будет потом изменить зашрифораный логин и пароль через отдельно написанную функцию ?

Обычно используеться необратимое шифрование, так что потом после зашифровки уже расшифровать нельзя. От пользователь например регистрируется шифруется пароль например по md5 алгоритму необратимо, и хешь сохраняется в текстовом файле, затем когда входит пользователь он вводит пароль который снова шифруется по md5 и хеши сравниваются, если они одинаковы, то пользователь входит куда нужно (flag ставим в true какой нить).
Хеши если своруют их потом еще расшифровать нужно, и можно только методом перебора и вообще еще нужно знать алгоритм по которому они были получены. У меня слово из 6 символов минут 5 перебирает, а если пароль из 10 символов, то программа должна непрерывно работать мб день два, а мб и недели.

0

Сообщение от ForEveR Для пароля хранится хэш

А в каком виде? Если можно простенький пример или ссылку на сам механизм.

P.S. Вот нашел забавную статейку про "подсаливание хэшей": Как лучше хранить хэши паролей.

P.P.S.

Сообщение от ninja2 необратимое шифрование

к сожалению нету таких.
(см. первое правило криптографии)

0

Сообщение от SatanaXIII к сожалению нету таких. (см. первое правило криптографии)

Как это нету, я читал за шифрование еще когда пхп учил, там бывает два вида шифрования обратимое и не обратимое, например md5 это необратимое шифрование, получившийся хешь уже нельзя расшифровать. И есть обратимое, когда данные шифруются и заново хешь можно расшифровать. Для паролей как правило используют необратимое шифрование.

Сообщение от SatanaXIII А в каком виде? Если можно простенький пример или ссылку на сам механизм. P.S. Вот нашел забавную статейку про "подсаливание хэшей": Как лучше хранить хэши паролей.

Ну как в каком виде? Просто в виде строки, эта строку пофигу куда ты запишешь, где хочешь там ее и хрони, хочешь в БД храни, хочешь в текстовый файл пиши. Ну в принципе тебе нужно что бы определить какой хешь принадлижит юзеру, хронить идентификатор юзера, или полностью строку запиши имя юзера и через пробел хешь сохранил, и так весь текстовый файл,. Для примера пофигу где он сохранить, а вообще нужно если в файле по аналогии с БД создать первичные ключ, что бы привязывать все данные пользователя к этому ключу, когда он авторизуется выдавать ему по этому ключу данные, ну например файл с паролями хронятся данные в виде:
1 / ninja2 / ksadjflsadjdlfsdfasdfjksadjfaksdjfladskj flkasdjflkasdjflksadjlfjasd
2 / ForEveR / sadkfjsdlfjlsadkjflksadjflkasdjflkadsjfl ksadjlkfjsadlkfjsadklfjlsajf
3 / Satana XIII / ksdfjlsakjflksajdfkljsadlkfjsadkjfksadjf lksdjlkfjsadlkfjkasdjflsdf

А данные пользователей хронятся в другом файле например файл user_data.txt
1 / Гуру С++ / Харьков / 1
2 / moderator / город / 3
3/ moderator / / 2

Примерно так, при аторизации мы вытягиваем с первого файла (таблицы) идентификатор (первичный ключь) и допустим записываем в флаг который показывает что пользователь авторизован, а в фале user_data.txt мы уже ищем запись которая соответствует флагу, от если у нас идентификатор будет 3, то из файла мы должны вырвать строку 2 / modrator / город / 3, тут последний столбец это вторичный ключь, типо базы данных.

SatanaXIII, это отак примерно все должно работать, это принцип, а там уже какую разновидность программы создашь.

Добавлено через 8 минут
Вообще должен быть сервер, программа должна отослать логин и пароль на сервер, сервер обрабатывает запрос и если пользователь проходит авторизацию (правильный логин и пароль есть), то та программа что на сервере отсылает пользователю переменную идентификатор, это может быть что угодно какое нить число, мб хешь какой нить специально сгененировано что то. Программа клиент получает идентификатор и если что надо получить какие нить данные от сервера, она уже запрос посылает с этим идентификатором, ну и сервер уже получает идентификатор у себя проверяет, ага создан идентификатор, значит пользователь авторизован, она должна запомнить айди пользователя и выдать нужные данный, айди или первичный ключ мы используем для поиска нужных данных.

Ладно разбирайся это тебе не просто так, в двух словах не расскажешь, это целая тема, это я так просто убогий примерчик привел, что бы понятно было примерно как все работает.

0

Сообщение от ninja2 Как это нету, я читал за шифрование еще когда пхп учил, там бывает два вида шифрования обратимое и не обратимое, например md5 это необратимое шифрование, получившийся хешь уже нельзя расшифровать. И есть обратимое, когда данные шифруются и заново хешь можно расшифровать. Для паролей как правило используют необратимое шифрование.

MD5 можно обратить, однако существует множество различных данный с одинаковым хешем, по-этому из результатов обратного хеширования еще нужно отыскать нужны вам данные.

Добавлено через 6 минут
Вот еще вариант:
Радужная таблица

0

Добавлено через 6 минут

Сообщение от iRomul MD5 можно обратить, однако существует множество различных данный с одинаковым хешем, по-этому из результатов обратного хеширования еще нужно отыскать нужны вам данные.

Аха ха и какая ж функция есть для расшифровки? Для обратимых алгоритмов шифрования всегда есть функция которой можно расшифровать хеш, а в мд5????

0

я вместо md5 использую хэш по алгоритму Blowfish
но можно и ГОСТами хэши создавать, это тоже надёжнее чем md5, ещё нужно почитать про "соль" при хэшировании пароля.
главное определиться с алгоритмом и найти нужную библиотеку, если интересно можно и самому написать, но вероятность взлома для самописной реализации выше, чем проверенной. после авторизации нужно использовать механизм сессий.

0

ninja2, как-то так

0

iRomul, аха это ж перебор, а если у меня будет пароль из 15 букв ты его никогда не обратишь. Они там не расшифровывают, а наоборот шифруют готовые слова и сравнивают с существующим хешем, потому что это необратимое шифрование, назад его невозможно расшифровать. Нету алгоритма дешифрования.

0

ninja2,

0

	Комментарий модератора
	ninja2, я все видел.

0

Сообщение от ninja2 Аха ха и какая ж функция есть для расшифровки? Для обратимых алгоритмов шифрования всегда есть функция которой можно расшифровать хеш, а в мд5????

Online Decrypter
Вы отстали от жизни.

Сообщение от ForEveR Логин сохраняется как есть. Для пароля хранится хэш.

Не обязательно. Можно (и обычно всё же нужно) хэшировать и логин. Просто обычно логин сохраняется и в первозданном виде. А иногда используют хэш-функцию от пары логин-пароль, чтобы усложнить подбор коллизии.

Добавлено через 1 час 5 минут
Алерт. Статья конечно неплохая, но акцент лучше оставить именно на этом. Суть в том, что MD5 очень неустойчив к аттакам на коллизии. А если вспомнить, что паролей не так уж и много (для полного перебора), то очевидно, что можно довольно быстро перебрать все возможные пароли и относительно быстро найти коллизию (или исходный пароль).

0

http://md5list.ru/ расшифровка md5, из N количества раз, а N > 100 , 1 раз не получилось пароль расшифровать.

0