Rot13 ist natürich ein Verschlüsselungsalgorithmus, und je nachdem wie weit man den Begriff fasst, könnte man auch Base64 als einen solchen bezeichnen, nur sind halt beide extrem schwach. Was du meintest sind wohl eher Hashs, denn die von dir aufgezählten Algorithmen MD5 und SHA-1 gehören zu dieser Gruppe, und keine Verschlüsselungsalgorithmen.

Rot13 ist absolut ungeeignet um Daten zu verschlüsseln, dann kann man sie gleich im Klartext ablegen. Base64 ein Kodierungs-Algo also auch nicht geeignet.

Die Frage ist wie sicher muss das ganze sein und wozu speicherst du ein Passwort?

Es handelt sich um Usernamen und Passwörter von E-Mail Postfächern. Es sollte halt nicht jeder, der das Passwort für die Datenbank kennt alle Passwörter der User auslesen können. Daher steht sowas wie Base64 nicht wirklich zur Diskussion.

Auf der Seite von C# bist Du sehr flexibel, das Cryptography Assembly bietet fast alles was das Herz begehrt und decryptete Strings lassen sich auch in beliebige Formate (ASCII, UTF8 etc.) encodieren.

Ich würde einfach mal eine Testanwendung in Delphi schreiben, die einen String encrypted und sehen, ob der String dann mit C# wieder entschlüsselt werden kann.

Sicherheit hast Du aber nur, wenn Dein Programm für die Enschlüsselung das Passwort jedesmal abfragt. Wenn Du es fest im Programm hinterlegst, ist es auch fast egal mit was Du die Daten verschlüsselst.

Fall 1:
Die Passwörter werden tatsächlich verwendet, z.B. um später E-Mails aus anderen Quellen abzurufen, ohne das der Benutzers dieses erneut eingibt.
> Das Passwort muss verschlüsselt abgelegt werden.

Fall 2:
Die Passwörter dienen dazu, die Identität des User bei der Anmeldung an deinem System sicher zu stellen.
> Es genügt einen Hash vom Passwort zu bilden und in der DB abzulegen.
Bei Anmeldung des Benutzers wird erneut der Hash des eingegebenen Passwort gebildet und verglichen.

Das Problem ist allerdings, daß du passend zum verschlüsselten Passwort direkt im Programm die Entschlüsseltungsmethode mitlieferst.
Also egal wie sicher die Verschlüsselung ist, da die Entschlüsselung immer mitgeliefert ist, kann man alles knacken, abgesehn davon, daß man das unverschlüsselte Passwort auch direkt aus dem Arbeitsspeicher rauskopieren könnte, wärend dein Programm dieses entschlüsselt hat, zur Anmeldung am Postfach.
(oftmals werden solche Passwörter sogar unverschlüsselt zum Mailserver übertragen, so daß man es auch noch im Netzwerktrafic leicht mitloggen kann und dann eh jeder vorherige Verschlüsslung umsonst war)

Da kann man also auch ein einfaches XOR oder Dergleichen nehmen.



Komplett unverschlüsselt würde ich diese Daten aber nicht speichern. (das wäre ja zu einfach )

Ja und? Es ist eine eiserne Regel der modernen Kryptographie, daß die Sicherheit nur im Schüssel liegt und die Methode im Gegensatz zu Deiner Behauptung veröffentlicht ist (damit man sie reviewen und verbessern kann).

Was natürlich nicht gut wäre, den Schlüssel ungeschützt im Programm zu verwenden. Man kann ihn zur Laufzeit aus einem verschlüsselten Schlüssel berechnen. Ein ähnliches Prinzip wenden zB PGP und Konsorten an (die berechnen via Passwort die privaten Schlüssel aus einem verschlüsselten Schlüsselbund); diese Programme wäre gemäß Deiner Theorie völlig unsicher.

Wie wäre es denn, die Möglichkeiten der Benutzerverwaltung der Datenbank zu nutzen?
Auch wenn es wohl in Vergessenheit geraten ist, die meisten Datenbanken gestatten es mehrere Benutzer mit höchst unterschiedlichen Rechten anzulegen.
Ene zusätzliche Verschlüsselung ist natürlich nicht falsch.

Gruß
K-H