Alexander (HH): Login-System für lokale Anwendung

Beitrag lesen

Moin Moin!

Passworte speicherst Du -- egal ob local oder remote -- als Hashwert, vorzugsweise mit einem "salt" genannten Zufallswert, der bei identischen Passworten identische Hash-Werte vermeidet. Die Passwort-Abfrage ist dann, den "salt"-Wert und das eingegebene Passwort ebenfalls durch die Hash-Funktion zu jagen und das Ergebnis mit dem Hashwert in der Datenbank zu vergleichen.

MD4 und MD5 sind als geknackt anzusehen, SHA-1 ebenfalls. 3DES müßte ich mal suchen. SHA-256 gilt noch als sicher.

Den Zugang zum FTP-Server aus der Anwendung heraus könntest Du durch SSH/SCP/SFTP ersetzen und auf jeden Client einen Public Key verteilen. Die entsprechenden Private Keys kannst Du bei Bedarf auf dem Server sperren, womit der Zugang unmöglich wird.

Es wäre auch möglich, den Zugang zur Applikation nur dann zu erlauben, wenn das Login am FTP-Server klappt. Damit entfiele die notwendigkeit, auf dem Client irgendwelche Zugangsdaten zu speichern.

Verstecken der Zugangsdaten in irgendwelchen ominösen Dateien oder auf der großen Windows-Müllhalde genannt Registry ist Security by Obscurity, das hat noch nie gut funktioniert.

Alexander

--
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".