Hallo

wenn mein Programm startet, erscheint Form1 (Passwort-Fenster). Und wenn
das eingegebene Passwort richtig ist, dann erscheint Form2

Ist das nicht leicht zu knacken, indem man Form2 von einem externen Programm visible macht?
Oder ist das nicht möglich?

Wenn es möglich wäre, dann muss ich mindestens einen Timer erstellen, der immer das Passwort mit dem vom
User eingegebenen Passwort vergleicht

Wenn du das Passwort im Code vergleichst, wäre eher das die Schwachstelle.
An deiner Stelle würde ich mir aber eher andere Sorgen machen

Erstelle die Instanz deiner Hauptformularklasse erst nach der richtigen Eingabe des Passworts - Ähnlich wie bei einem Splashscreen.

Wenn das Passwort im Quellcode hinterlegt ist, ist es in 20 Sekunden geknackt.
Ist es verschlüsselt wird man 1-2 Minuten benötigen um die Abfrage im Assemblercode zu negieren. (Jeweils bei fähigen Hackern.)

wo sonst, wenn das Passwort nicht im Programm speichern ?
Ich meine wie kann ich das Passwort außerhalb des Programmes erstellen und speichern ?
Oder muss ich das Passwort mit dem Programm erstellen aber in externe Datei z.B. in dll Datei
als char speichern?

Kannst Du mir bitte die Idee noch mehr erklären !

Sagen wir es mal so:

Wenn Deine Software mit dem Code arbeitet, den Du hier Streckenweise gepostet hast, dann ist es das Programm einfach nicht Wert, überhaupt irgendwie geschützt zu werden. Also mach Dir da mal lieber keinen Kopf drum.

Oder anders gesagt: Ein qualitativ so schlechtes Programm wird niemand knacken wollen, von daher reicht es sicher so wie es jetzt schon ist.

Sobald die Executable beim Endkunden auf dem Rechner ist kann sie geknackt werden. Du kannst nur den Aufwand zu knacken erhöhen, mehr nicht. Ein nahezu 100%iger Schutz ist nur bei Weblösungen gegeben wenn die krischten Zugangsdaten nicht den DMZ-Bereich verlassen.

Poste ruhig mal dein geschütztes PRogramm, aber du wirst sehen die meisten Leute hier haben dir auch ein verschlüsseltes Kennwort oder einen Hash in maximal einer Minute mit OllyDbg aus dem Programmfluss entfernt.

Wenn du wirklich was schützen willst, dann verwende Programme wie Themida. Dies würde ich allerdings nicht empfehlen, da das Teil erstens einen Haufen Geld kostet, zweitens das Programm um einiges verlangsamt und drittens zu multiplen Fehlfunktionen führen kann.

Was ist meine Frage
... leicht zu knacken
Ich habe weder von 100% noch 50% Schutz gefragt
Ich wollte nur den Schutz erhöhn mehr nicht

Okay, du hast es nicht anders gewollt: Vergleiche nicht das eingegebene direkt mit dem gewünschten Passwort, sondern nur die Hashs. Rufe außerdem immer mal wieder IsDebuggerPresent auf und brich ab, falls True zurückgegeben wird. Auf Luckies Homepage steht auch, wie du IsDebuggerPresent handcodieren kannst.
Deutlich sicherer geht es meiner Ansicht nach mit einem Passwortschutz kaum.