Локальный пароль на вход в программу

@Nalik · Регистрация: 30.11.2012

Студворк — интернет-сервис помощи студентам

Нужно создать пароль на вход в программу.
Вопрос, где лучше хранить пароли?

Вижу это так:
Пользователь скачивает программу, запускает её, заходи в настройки и ставит галочку "Требовать пароль при входе в программу", потом устанавливает свой пароль. При следующем входе, программа требует пароль.

Проблема:
Не знаю где лучше хранить пароль введенный пользователем, чтобы избежать таких ситуаций, как:
-Нашли файл с паролем на компе, удалили его и программа больше не требует пароль на вход. (пароль естественно будет зашифрован)

@Cupko · 21.10.2015, 15:52

Nalik, хранить в конфиге в зашифрованном виде? при отсутствии/несовпадении паролей/хэша предлагать ввести пароль?

Убежденный · 21.10.2015, 15:54

Хранить можно где угодно, хоть в реестре, хоть на диске, хоть в облаке.
Главное - надежное шифрование. А шифровать можно так:

Windows Data Protection
https://msdn.microsoft.com/en-... 95355.aspx

ProtectedData Class
https://msdn.microsoft.com/en-... .110).aspx

How to: Use Data Protection
https://msdn.microsoft.com/en-... .110).aspx

Эту же технику используют Google Chrome, Internet Explorer, KeePass и другие
популярные программы.

@Nalik · 21.10.2015, 16:18 **[ТС]**

Сообщение от Убежденный

Хранить можно где угодно, хоть в реестре, хоть на диске, хоть в облаке.
Главное - надежное шифрование. А шифровать можно так:

В шифровании у меня вопрос не стоит. У меня стоит вопрос в том, как выводить предложение ввести пароль.
Вариант с облаком идеальный. Но тогда отсутствие интернета станет проблемой.
Вариант с реестром неплохой. Но тогда при переносе программы с компа на комп является проблемой.
Вариант с хранением на диске. Не безопасный, т.к. файл который отвечает за появление предложения ввести пароль могут найти и попросту отредактировать таким образом, что программа перестанет запрашивать пароль.

Добавлено через 2 минуты
Вообще программа такая:
Программа сохранения паролей.
Пользователь заходит в программу и вбивает свои пароли. Пароли сохраняются в корневые подпапки в виде файлов, в зашифрованном виде. Через программу можно открыть любой файл в расшифрованном виде. Собственно теперь стоит задача защитить сам вход в программу. Может быть имея эту информацию будет понятнее то что мне требуется.

Добавлено через 2 минуты

Сообщение от Cupko

хранить в конфиге в зашифрованном виде? при отсутствии/несовпадении паролей/хэша предлагать ввести пароль?

Удаляем конфиг и программа снова не требует пароль на вход.

Появилась у меня одна идея, хранить пароль на вход в программу в каждом файле сохраненных паролей.
Но это как-то не правильно. Получается что при уже сохраненных десятков паролей нужно будет все их открывать и дописывать пароль на вход.

@aquaMakc · 21.10.2015, 16:20

храни не пароли, а их хэши, соответственно, при вводе пароля проверяй не сам пароль, а его хэш. Это реализуется элементарно.

Добавлено через 1 минуту
удалили пароли - проблема удалившего. Нет пароля - нет входа в программу.

@Nalik · 21.10.2015, 16:24 **[ТС]**

Сообщение от aquaMakc

храни не пароли, а их хэши, соответственно, при вводе пароля проверяй не сам пароль, а его хэш. Это реализуется элементарно.

Да, да. Скорее всего я буду хранить пароль на вход именно в хеше. Мб в md5, но сейчас не об этом. Тот же хеш пароля нужно куда-то сохранять. И в этом стоит вопрос, как реализовать чтобы программа требовала пароль на вход даже если файл с паролем/хешем или конфигурация программы была полностью удалена.

Добавлено через 1 минуту

Сообщение от aquaMakc

удалили пароли - проблема удалившего. Нет пароля - нет входа в программу.

Ага. А как тогда при первом запуске не требовать пароля?

@aquaMakc · 21.10.2015, 16:25

зашей в программу аналог домофонного "мастер-ключа", с помощью которого можно зайти даже без твоего хранилища. При запуске программы проверяй своё хранилище. Есть - подгружай в память, нет - сверяй только с зашитым.

@Nalik · 21.10.2015, 16:38 **[ТС]**

Нет, всё таки для моей задачи чтобы защитить файлы паролей нужно в каждый файл дописывать хеш введенного пароля.. Ибо так можно будет перекинуть все подпапки к другой программе и получится что сохраненный файлы можно дешифровать. Получается нужная некая уникальная подпись/ключ к каждому файлу.

Добавлено через 1 минуту
Спасибо за помощь! Пойду думать)

Добавлено через 10 минут
Придумал примерно такой алгоритм. Как считаете, годный?

Запускаем программу в первые. Выводим сообщение с просьбой ввести/создать пароль. Пароль введен.
Создаем файл с паролем (например от одноклассников). В первую строчку вводим хеш ключа который ввели при входе в программу. Остальными строчками вводим данные от одноклассников.
Сохраняем файл паролей.
Открытие сохраненного файла с паролем от одноклассников. Сравниваем хеш пароля в файле с паролем введенным при входе в программу.

Последующие открытия программы. Выводим сообщение с простбой ввести/создать пароль. Пароль введен.
Открытие сохраненного файла с паролем от одноклассников. Сравниваем хеш пароля в файле с паролем введенным при входе в программу.

@aquaMakc · 21.10.2015, 16:42

нормально. только, теперь усложняем задачу (приводим к нормальному виду). Для начала читаем про сериализацию-десериализацию, как разберёмся - переходим к БД. )

@Nalik · 21.10.2015, 16:53 **[ТС]**

Сообщение от Nalik

Сравниваем хеш пароля в файле с паролем введенным при входе в программу.

Всплывает проблема, что хеш пароля можно подменить.. на хеш известного пароля.. что делать?

@aquaMakc · 21.10.2015, 16:55

Сообщение от Nalik

Всплывает проблема, что хеш пароля можно подменить.. на хеш известного пароля.. что делать?

Никому не говорить каким способом ты получаешь хэш ). Как вариант усложнять процесс при расчёте хэша добавлять к введённому паролю дополнительные символы.

@Nalik · 21.10.2015, 17:06 **[ТС]**

Сообщение от aquaMakc

Никому не говорить каким способом ты получаешь хэш ). Как вариант усложнять процесс при расчёте хэша добавлять к введённому паролю дополнительные символы.

Тоже об этом подумал, что надо бы его разбавить всяким шумом и заныкать в какое нибудь рандомное место в файле. Благо, что уже написан собственный алгоритм шифрования, который в файле такую кашу делает.

Добавлено через 6 минут

Сообщение от aquaMakc

Для начала читаем про сериализацию-десериализацию, как разберёмся - переходим к БД.

Да, прикручивать хранение паролей в БД на своем сервере я тоже буду) Спасибо за указанное направление

Убежденный · 21.10.2015, 19:35

Сообщение от Nalik

Вообще программа такая:
Программа сохранения паролей.
Пользователь заходит в программу и вбивает свои пароли. Пароли сохраняются в корневые подпапки в виде файлов, в зашифрованном виде. Через программу можно открыть любой файл в расшифрованном виде. Собственно теперь стоит задача защитить сам вход в программу. Может быть имея эту информацию будет понятнее то что мне требуется.

В таком случае пароль вообще нигде не стоит хранить.
Ключ шифрования, которым шифруются данные, должен генерироваться
на основе введенного пользователем пароля (например, по стандарту PBKDF2).
Неправильно ввели пароль - получили "мусор" вместо данных.

Хранить хэш пароля - ненадежно. Злоумышленник сможет подменить его на свой и
получить доступ к данным. Добавление соли, прятанье алгоритма защиты и т.п.
принципиально тут ничего не изменит.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Nalik 176 / 124 / 49 Регистрация: 30.11.2012 Сообщений: 1,330

	Локальный пароль на вход в программу 21.10.2015, 15:46. Показов 3599. Ответов 12 Метки нет (Все метки) Нужно создать пароль на вход в программу. Вопрос, где лучше хранить пароли? Вижу это так: Пользователь скачивает программу, запускает её, заходи в настройки и ставит галочку "Требовать пароль при входе в программу", потом устанавливает свой пароль. При следующем входе, программа требует пароль. Проблема: Не знаю где лучше хранить пароль введенный пользователем, чтобы избежать таких ситуаций, как: -Нашли файл с паролем на компе, удалили его и программа больше не требует пароль на вход. (пароль естественно будет зашифрован) 0

@Cupko 658 / 595 / 171 Регистрация: 17.07.2012 Сообщений: 1,682 Записей в блоге: 1
	21.10.2015, 15:52
	Nalik, хранить в конфиге в зашифрованном виде? при отсутствии/несовпадении паролей/хэша предлагать ввести пароль? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	21.10.2015, 15:54
	Хранить можно где угодно, хоть в реестре, хоть на диске, хоть в облаке. Главное - надежное шифрование. А шифровать можно так: Windows Data Protection https://msdn.microsoft.com/en-... 95355.aspx ProtectedData Class https://msdn.microsoft.com/en-... .110).aspx How to: Use Data Protection https://msdn.microsoft.com/en-... .110).aspx Эту же технику используют Google Chrome, Internet Explorer, KeePass и другие популярные программы. 1

@aquaMakc 484 / 397 / 68 Регистрация: 14.02.2014 Сообщений: 1,930
	21.10.2015, 16:20
	храни не пароли, а их хэши, соответственно, при вводе пароля проверяй не сам пароль, а его хэш. Это реализуется элементарно. Добавлено через 1 минуту удалили пароли - проблема удалившего. Нет пароля - нет входа в программу. 0

@aquaMakc 484 / 397 / 68 Регистрация: 14.02.2014 Сообщений: 1,930
	21.10.2015, 16:25
	зашей в программу аналог домофонного "мастер-ключа", с помощью которого можно зайти даже без твоего хранилища. При запуске программы проверяй своё хранилище. Есть - подгружай в память, нет - сверяй только с зашитым. 1

@Nalik 176 / 124 / 49 Регистрация: 30.11.2012 Сообщений: 1,330
	21.10.2015, 16:38 [ТС]
	Нет, всё таки для моей задачи чтобы защитить файлы паролей нужно в каждый файл дописывать хеш введенного пароля.. Ибо так можно будет перекинуть все подпапки к другой программе и получится что сохраненный файлы можно дешифровать. Получается нужная некая уникальная подпись/ключ к каждому файлу. Добавлено через 1 минуту Спасибо за помощь! Пойду думать) Добавлено через 10 минут Придумал примерно такой алгоритм. Как считаете, годный? Запускаем программу в первые. Выводим сообщение с просьбой ввести/создать пароль. Пароль введен. Создаем файл с паролем (например от одноклассников). В первую строчку вводим хеш ключа который ввели при входе в программу. Остальными строчками вводим данные от одноклассников. Сохраняем файл паролей. Открытие сохраненного файла с паролем от одноклассников. Сравниваем хеш пароля в файле с паролем введенным при входе в программу. Последующие открытия программы. Выводим сообщение с простбой ввести/создать пароль. Пароль введен. Открытие сохраненного файла с паролем от одноклассников. Сравниваем хеш пароля в файле с паролем введенным при входе в программу. 0

@aquaMakc 484 / 397 / 68 Регистрация: 14.02.2014 Сообщений: 1,930
	21.10.2015, 16:42
	нормально. только, теперь усложняем задачу (приводим к нормальному виду). Для начала читаем про сериализацию-десериализацию, как разберёмся - переходим к БД. ) 0