Как хранить пароли для доступа к программе?

@Deczy · Регистрация: 16.02.2016

Студворк — интернет-сервис помощи студентам

Есть программа, доступ к которой осуществляется через подтверждение личности(ввод пароля). Иного способа кроме как хранить пароль в отдельном файле(.txt) я не знаю, но его же можно удалить или переписать. Что делать в таком случае, может есть какой-то предусмотренный способ без лишнего файла или привязка этого файла к программе?

@KaiKristo · 12.05.2017, 07:45

Воспользуйся шифрованием. И храни шифрованный пароль хоть на рабочем столе. Толку от того, что ты видишь !ф"3g23#, никакого, если ты не знаешь каким образом был этот пароль получен.

@ForEveR · 12.05.2017, 12:29

Deczy, База данных. Шифрование. Удаленное хранилище. Достаточно много вариантов.

@Почтальон · 12.05.2017, 12:56

Или можно, например, придумать функцию, которая будет возвращать определенное значение. На вход функции подается, допустим, логин и пароль. В функции продумать алгоритм проверки этих параметров, но учитывать какие-либо ключевые, например, "вшить" список пользователей с логинами и паролями (но проще тогда как предложил ForEveR). Либо проверять "определенную последовательность" символов, например логин - 34sdo7, тогда последовательность можно представить как:[0-9]2[a-z]3[0-9]. При совпадении такого "ключа" функция возвращает разрешающий доступ

Можно так генерировать логины и пароли, потом раздавать пользователям. Но есть и минусы по безопасности

@Nick Alte · 13.05.2017, 20:20

Классика - это не хранить пароли, а хранить их хеши. Если человек вводит пароль и хеш от него совпадает с хешем в базе, пароль верный. Восстановить/расшифровать пароль по хешу не выйдет, кражи паролей можно не опасаться.

Кроме того, при занесении хеша в базу для пароля создают случайным образом добавочную последовательность, "соль". Хеш берут от пароля и соли вместе взятых. Соль сохраняется в базу вместе с хешем и используется при проверке. Это позволяет избежать вскрытия пароля по словарю известных хешей.

Если проверка паролей происходит у конечного пользователя, то нет принципиальных препятствий для обхода этих или каких-либо других ухищрений. Кто-то достаточно мотивированный и знающий сможет вскрыть и обойти любую защиту. Можно придумывать разные уловки для того, чтобы спрятать базу паролей (хранить в реестре или в запрятанных невесть куда файлах, или даже в альтернативном файловом потоке NTFS, шифровать, тысячи их). Это поможет защититься только от ленивых и технически не подкованных пользователей. Для вскрытия достаточно одного заинтересованного человека, который потом распространит результат по этим вашим интернетам.

Новые блоги и статьи Все статьи Все блоги /
Программный контроль заполнения реквизита табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать контроль заполнения реквизита "ПричинаСписания". . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных в справочнике через динамический список Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .
Программное заполнения текстового поля в реквизите формы документа Maks 01.04.2026 Алгоритм из решения ниже реализован на нетиповом документе "ВыдачаОборудованияНаСпецтехнику" разработанного в конфигурации КА2, в дополнении к предыдущему решению. На форме документа создается. . .	К слову об оптимизации kumehtar 01.04.2026 Вспоминаю начало 2000-х, университет, когда я писал на Delphi. Тогда среди программистов на форумах активно обсуждали аккуратную работу с памятью: нужно было следить за переменными, вовремя. . .	Идея фильтра интернета (сервер = слой+фильтр). Hrethgir 31.03.2026 Суть идеи заключается в том, чтобы запустить свой сервер, о чём я если честно мечтал давно и давно приобрёл книгу как это сделать. Но не было причин его запускать. Очумелые учёные напечатали на. . .	Модель здравосоХранения 6. ESG-повестка и устойчивое развитие; углублённый анализ кадрового бренда anaschu 31.03.2026 В прикрепленном документе раздумья о том, как можно поменять модель в будущем

@Deczy 0 / 0 / 0 Регистрация: 16.02.2016 Сообщений: 101

	Как хранить пароли для доступа к программе? 11.05.2017, 23:50. Показов 2823. Ответов 4 Метки нет (Все метки) Есть программа, доступ к которой осуществляется через подтверждение личности(ввод пароля). Иного способа кроме как хранить пароль в отдельном файле(.txt) я не знаю, но его же можно удалить или переписать. Что делать в таком случае, может есть какой-то предусмотренный способ без лишнего файла или привязка этого файла к программе? 0

@KaiKristo 29 / 19 / 10 Регистрация: 24.02.2015 Сообщений: 124
	12.05.2017, 07:45
	Воспользуйся шифрованием. И храни шифрованный пароль хоть на рабочем столе. Толку от того, что ты видишь !ф"3g23#, никакого, если ты не знаешь каким образом был этот пароль получен. 0

@ForEveR В астрале 8049 / 4806 / 655 Регистрация: 24.06.2010 Сообщений: 10,562
	12.05.2017, 12:29
	Deczy, База данных. Шифрование. Удаленное хранилище. Достаточно много вариантов. 0

@Почтальон управление сложностью 1693 / 1306 / 259 Регистрация: 22.03.2015 Сообщений: 7,545 Записей в блоге: 5
	12.05.2017, 12:56
	Или можно, например, придумать функцию, которая будет возвращать определенное значение. На вход функции подается, допустим, логин и пароль. В функции продумать алгоритм проверки этих параметров, но учитывать какие-либо ключевые, например, "вшить" список пользователей с логинами и паролями (но проще тогда как предложил ForEveR). Либо проверять "определенную последовательность" символов, например логин - 34sdo7, тогда последовательность можно представить как:[0-9]2[a-z]3[0-9]. При совпадении такого "ключа" функция возвращает разрешающий доступ Можно так генерировать логины и пароли, потом раздавать пользователям. Но есть и минусы по безопасности 0

@Nick Alte 1675 / 1047 / 174 Регистрация: 27.09.2009 Сообщений: 1,945
	13.05.2017, 20:20
	Классика - это не хранить пароли, а хранить их хеши. Если человек вводит пароль и хеш от него совпадает с хешем в базе, пароль верный. Восстановить/расшифровать пароль по хешу не выйдет, кражи паролей можно не опасаться. Кроме того, при занесении хеша в базу для пароля создают случайным образом добавочную последовательность, "соль". Хеш берут от пароля и соли вместе взятых. Соль сохраняется в базу вместе с хешем и используется при проверке. Это позволяет избежать вскрытия пароля по словарю известных хешей. Если проверка паролей происходит у конечного пользователя, то нет принципиальных препятствий для обхода этих или каких-либо других ухищрений. Кто-то достаточно мотивированный и знающий сможет вскрыть и обойти любую защиту. Можно придумывать разные уловки для того, чтобы спрятать базу паролей (хранить в реестре или в запрятанных невесть куда файлах, или даже в альтернативном файловом потоке NTFS, шифровать, тысячи их). Это поможет защититься только от ленивых и технически не подкованных пользователей. Для вскрытия достаточно одного заинтересованного человека, который потом распространит результат по этим вашим интернетам. 1