Przechowywanie hasła
Ostatnio zmodyfikowano 2020-06-23 19:10
Maciek Temat założony przez niniejszego użytkownika |
Przechowywanie hasła » 2020-06-23 09:33:00 Mam taki problem. Mam aplikację w której użytkownik korzysta z bazy danych MSSQL. Użytkownik nie ma danych do autoryzacji do SQL-a, jedynie korzysta z niej w trakcie używania aplikacji. Mam pytanie - w jaki sposób przechowywać hasło i login do bazy danych tak, aby było to bezpieczne (podkreślam ze użytkownik nie może znać tych danych) ? |
|
DejaVu |
» 2020-06-23 09:52:09 Nie da się - podobny temat ostatnio się pojawił w kontekście MySQL-a. |
|
Maciek Temat założony przez niniejszego użytkownika |
» 2020-06-23 11:17:15 Generalnie mam hasło które przechowuje zaszyfrowane w programie. Decryptor jest jednak zapisany w programie w postaci klucza. Chciałem wykluczyć zapisywanie klucza który odszyfrowuje dane dostępowe do bazy. |
|
DejaVu |
» 2020-06-23 11:25:04 Masz dwie opcje:
- zrobić serwer komunikujący się z bazą danych, które wystawia np. WEB API, a klient wykonuje 'zapytania' http(s) do tego WebAPI
LUB:
- robić konta użytkownika na poziomie bazy danych oraz utworzyć procedury składowane, które będą miały nadawane uprawnienia wykonania w zależności od zalogowanego użytkownika (generalnie długoterminowa masakra w utrzymaniu)
Innych względnie bezpiecznych opcji nie ma (a nawet jeżeli są to prawdopodobnie są znacznie bardziej skomplikowane w implementacji niż przedstawione opcje). |
|
Maciek Temat założony przez niniejszego użytkownika |
» 2020-06-23 12:30:45 Konta użytkowników są przechowywane w tabeli (zaszyfrowane w 1 stronę), Zupełnie odpada tworzenie kont na poziomie bazy danych, nie na tym etapie. Problemem jest dla mnie tylko przechowywany klucz który jest używany przez klasę realizującą odszyfrowanie dostępu do bazy danych. |
|
pekfos |
» 2020-06-23 19:10:03 Generalnie mam hasło które przechowuje zaszyfrowane w programie. |
I co z nim robisz? Pewnie odszyfrowujesz, by użyć - w takim razie dzięki za odszyfrowanie hasła za mnie ;) Dostałeś już wystarczającą odpowiedź: nie da się tego zrobić bezpiecznie. Jeśli Twój program kiedykolwiek ma dostęp do hasła, to każdy może te hasło wydobyć mając odrobinę know-how. Zobacz dyskusję z c++ prawdziwy system logowania!, to jest temat o którym wspominał DejaVu. |
|
« 1 » |