Mein Vorschlag sieht so aus:
1.) man legt ein Masterpasswort fest; dies kann entweder hartcodiert in der Anwendung sein oder von Aussen kommen
2.) man berechnet
masterkey := MD5(masterpasswort)
3.) man erzeugt für jeden Vorgang einen "randomkeystring" (3 - 10 Zeichen)
key := MD5(masterkey + randomkeystring);
4.) dieser "key" hat eine Länge von 16 Bytes.
Damit wir auch Passwörter mit mehr als 16 Zeichen verschlüsseln können, wird der key verlängert:
key := key + MD5(key);
Damit hat der key eine Länge von 32 Bytes.
Diese Art der Verlängerung kann wiederholt werden um so einen key mit 48 oder 64 Bytes zu erhalten.
5.) das zu verschlüsselnde Passwort wird auf mindestens 32 Zeichen verländert
Delphi-Quellcode:
if Length(password) < 32 then
paddedPW := copy(password+#0+Randomstring2, 1,32)
else
paddedPW := password;
6.) das verlängerte Passwort wird nun einfach mit dem Key XOR verknüpft
cryptedPW := XORstring(key, paddedPW);
7.) gespeichert wird so
Code:
$randomkeystring$cryptedPW$
Die Dollarzeichen dienen dazu, die beiden Teilstücke später wieder zu trennen.
Das cryptedPW muss hexadezimal codiert werden weil es ja alle Zeichen zwischen #0 bis #255 enthalten kann.
Vorteile:
* ohne Kenntniss des masterpassworts oder masterkeys ist die Verschlüsselung kaum zu knacken (zumindest nicht wirtschaftlich lohnend)
* selbst wenn alle
FTP-Passwörter = "123456" sind entsteht durch den randomkeystring jedesmal eine neue Verschlüsselung
* da das zu verschlüsselnde PW auf 32 Zeichen verlängert wurde, kann der Angreifer nicht erkennen wie lange das ursprüngliche PW ist