Polskie Centrum LabVIEW

Witam,

W tworzonej przeze mnie aplikacji chciałem zabezpieczyć dostęp do pewnych funkcji za pomocą hasła. W tym celu stworzyłem bibliotekę z kilkoma funkcjami (weryfikacja loginu i hasła, zmiana hasła, dodawanie nowego użytkownika, etc.). Niestety rozwiązanie, które zastosowałem jest bardzo łatwe do zhackowania, ponieważ wszystkie informacje o zarejestrowanych użytkownikach przechowuję w pliku, który można otworzyć zwykłym notatnikiem. Próbowałem w jakiś sposób zabezpieczyć ten plik, aby nie był tak łatwo dostępny, na przykład ustawiałem go jako niewidoczny lub zabezpieczałem hasłem, jednak w takim przypadku LabView również ma problem z dostępem do niego. Macie jakieś pomysły, w jaki sposób można by zrealizować to inaczej? W załączniku przesyłam prosty program poglądowy.
Gdyby ktoś miał jednak problem z "hackowaniem", podpowiadam, że dane obecnie zarejestrowanego użytkownika to - login: admin, hasło: admin.

Pozdrawiam

Zakoduj sobie dane w pliku jakims algorytmem np:
http://sine.ni.com/nips/cds/view/p/lang/pl/nid/212735
potem w aplikacji przy odczycie odkoduj.

Niestety rozwiązanie, które zastosowałem jest bardzo łatwe do zhackowania, ponieważ wszystkie informacje o zarejestrowanych użytkownikach przechowuję w pliku, który można otworzyć zwykłym notatnikiem.

Potrzebujesz funkcji skrótu, za pomocą której przekształcisz swoje hasła przed zapisem do pliku. Teraz jest tak: Po zastosowaniu funkcji skrótu będzie tak: Cały myk polega na tym, że funkcja skrótu jest jednokierunkowa. Znając hasło, możesz obliczyć jego skrót, ale nie w drugą stronę. Teraz nawet jeśli haker otworzy ten plik w notatniku, to nie będzie w stanie poznać haseł na jego podstawie.

Zmiana w aplikacji będzie dość prosta. Po podaniu hasła przez użytkownika obliczasz jego skrót i porównujesz ze skrótem zapisanym w pliku zamiast porównywania samych haseł, jak było do tej pory.

LabVIEW posiada wbudowaną funkcję skrótu MD5 dla plików (MD5 Checksum File VI), którą możesz wykorzystać w tym celu (załącznik):
Możesz też zainstalować bibliotekę OpenG MD5 Digest Library - znajdziesz tam gotową funkcję MD5 Message Digest.

Dla kompletności:

Wikipedia pisze:Od lat 90. MD5 nie jest uważany za bezpieczny do większości zastosowań i w jego miejsce zaleca się stosowanie algorytmów z rodziny SHA-2[6] lub SHA-3.

... ale tutaj powinien wystarczyć.

Całkiem sprytne rozwiązanie. Myślę, że jak na moje potrzeby w zupełności wystarczające. Dzięki za pomoc.

Skrót ma tę wadę, że niekoniecznie taki haker musi znać hasło, żeby złamać Twoją aplikację. Może na przykład - zgadując że wykorzystałeś MD5 - podmienić w Twoim pliku ciąg znaków na jakiś swój - na przyład MD5 ze słowa "tajnehasło". I potem, wpisując "tajnehasło", aplikacja otworzy przed nim swoje zasoby.

Dodatkowym zabezpieczeniem, które podnosi bezpieczenstwo aplikacji a wciaz (moim zdaniem) przesadnie jej nie komplikuje, jest "posolenie" hasła (ang. salt). Na przykład, dodanie do niego przed MD5 jakiejś znanej na sztywno w kodzie sekwencji znaków, na przykład "12345".

Algorytm sprawdzania hasła jest wtedy tylko odrobinke trudniejszy - bierzesz wejście użytkownika, dodajesz "12345", liczysz skrót i porównujesz z ustawionym hasłem. Z pliku VI dość trudno jest wykopać ciąg odpowiedzialny za salt, więc myślę że to niezly balans pomiędzy łatwością a bezpieczeństwem prostych aplikacji.

Słuszna uwaga. Dzięki.

Skrót ma tę wadę, że niekoniecznie taki haker musi znać hasło, żeby złamać Twoją aplikację. Może na przykład (...) podmienić w Twoim pliku ciąg znaków na jakiś swój

To nie wada skrótu, bo przecież bez niego haker zrobiłby to samo.

Dodatkowym zabezpieczeniem (...) jest "posolenie" hasła (ang. salt). Na przykład, dodanie do niego przed MD5 jakiejś znanej na sztywno w kodzie sekwencji znaków, na przykład "12345".

Z pliku VI dość trudno jest wykopać ciąg odpowiedzialny za salt

Dodanie soli jest dobrym pomysłem, ale stosuje się ją trochę inaczej.
Sól jest losowym (generowanym na nowo dla każdego nowego hasła) i jawnym (nie trzeba jej znikąd wykopywać) ciągiem bajtów. "Jawny" w tym wypadku oznacza, że jest zapisywana w pliku obok skrótu hasła.

Gdzie się używa rozwiązań typu salt?





http://www.biuro-wirtualne.eu/ wirtualny adres w Warszawie

coby nie szukac daleko:
https://pl.wikipedia.org/wiki/S%C3%B3l_(kryptografia)