Passwort sicher speichern

[Creativ]

Hi,
habe gerade mal wieder ein (hoffentlich kleines) Problem. Und zwar arbeite ich z.Zt. an einem Programm das die API von einer Website benutzt. Über die API logge ich mich dann auf dem Server ein, dazu muss ich den Usernamen und das Passwort an die API senden.
Den Usernamen und das Passwort hat der Benutzer zuvor in den Einstellungen von meinen Programm gespeichert.

Jetzt habe ich jedoch, dass ich zur Zeit das Passwort als Klartext mit den anderen Einstellungen zusammen in einer .txt-Datei sichere, was ja nicht gerade sicher ist.
Das Passwort selber generieren und dann das verschlüsselte Passwort speichern und an die API zu übertragen, geht leider auch nicht, da zum Verschlüsseln noch ein bestimmter, userabhängiger Text benötigt wird, der nur in der Datenbank von der Seite selber gespeichert ist.

Gibt es jetzt noch eine Möglichkeit das Passwort irgendwo sicher zu speichern, also zum Beispiel in einer Datenbank?

Gruß,
Dennis

 

[Mentor49]

Ich werf einfachmal was in den Raum:
>,> md5

 

[Creativ]

Naja, das Problem bei md5 ist ja aber, dass ich es nicht wieder entschlüsseln kann, aber ich muss ja das unverschlüsselte Passwort an die API senden. Funktioniert daher also nicht.

 

[hdi]

Wieso musst du das unverschlüsselte Passwort senden? Wenn das so ist kannste ja eh nix dagegen machen,
dass man das Passwort ablauscht. Der Client verschlüsselt "Apfel" zu "Banane", verschickt dann Banane, und
die API entschlüsselt "Banane" zu "Apfel". Wer auch immer jetz mitlauscht oder in Dateien kuckt, wird immer "Banane" finden und ohne passenden Algorithmus kann er das nicht umwandeln. Wo ist das Problem?

 

[Spacerat]

Wenn du das Ding ohnehin schon unverschlüsselt senden musst, kannst du den admin ja gleich fragen, ob er es nicht lieber gleich sichtbar auf der Seite platzieren könnte. Du musst dir dann keine gedanken mehr um die Verschlüsselung deiner Datei machen. Normalerweise braucht man so eine Datei, damit man selbst das Passwort nicht vergisst. Dann könntest du sie in diesem Fall durch löschen und schreddern am besten verschlüsseln. Und wenn das PW dann vergessen ist, versuchen wir es mit dem MasterPasswort:

' or '1'='1

Wenn das funzt, ist das natürlich völlig Banane (@hdi: auch wenn das PW Apfel war ), denn der Server wurde gerade Opfer der simpelsten SQL-Injection.

Aber mal anders... nicht so abweisend...
Damit dir geholfen werden kann, bräuchte man schon nähere Infos über den Mechanismus der PW-Übertragung.

mfg Spacerat

 

[Tobias]

Eine Datenbank könnte man zu diesem Zweck benutzen, aber das ist a) bissel oversized und b) macht das nur Sinn, wenn die Datenbank dann auch sicher vor dem Anwender ist, am besten auf einem anderen, nicht zugänglichen Rechner. Wenn du in diese Richtung weiterdenken möchtest, ist JDBC das richtige Stichwort für Google/Wikipedia.

Ansonsten mußt du dir irgendeinen Verschlüsselungsalgorithmus überlegen, wodurch das Passwort aber nur marginal sicherer aufbewahrt wird, denn wer den Algorithmus knackt (etwa durch Decompilieren deines Programms) kann dann auch das Passwort entschlüsseln. Ich denke hier an Algorithmen wie ROT13 oder einen seiner komplexeren Brüder - in Wiki wirst du sicher fündig.

Wenn es ein vorgefertigter Verschlüsselungsalgorithmus sein darf, mußt du dich mit JCE auseinandersetzen, ein kleines Tutorial ist etwa http://www.bastie.de/index.html?/ja...tAndDecryptWithJavaCryptographyExtension.html

mpG
Tobias