Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   GUI-Design mit VCL / FireMonkey / Common Controls (https://www.delphipraxis.net/18-gui-design-mit-vcl-firemonkey-common-controls/)
-   -   Passwort ***** (https://www.delphipraxis.net/86691-passwort-%2A%2A%2A%2A%2A.html)

SaFu 17. Feb 2007 20:31
Passwort *****
 
Kann mann einem Feld z.b. Passwort eine eigenschaft geben das die Einträge alle einen Platzhalter haben z.B.*****

inherited 17. Feb 2007 20:31
Re: Passwort *****
 
Schau dir mal die property PasswordChar, oder so ähnlich, an.
(BTW: Was hat das mit einer Datenbank zu tun :gruebel: )

mkinzler 17. Feb 2007 20:32
Re: Passwort *****
 
In der Datenbank oder in einem Edit?

SaFu 17. Feb 2007 20:33
Re: Passwort *****
 
In einer Datenbank im Eingabe für ich mit einem DBMaskEdit durch

inherited 17. Feb 2007 20:36
Re: Passwort *****
 
Zumindest DBEdit hat die von mir genannte Property, schau mal ob DBMaskEdit die auch hat.

SaFu 17. Feb 2007 20:38
Re: Passwort *****
 
Zitat:
Zitat von inherited
(BTW: Was hat das mit einer Datenbank zu tun :gruebel: )
Die Tabelle ist öffentlich in dem Programm für denn Admin einzusehen er Kann die Benutzernammen sehen und deren Eigenschaften soll aber das Passwort nicht sehen dürfen

DBMaskEdit hat sie glaub ich auch

inherited 17. Feb 2007 20:41
Re: Passwort *****
 
Dann würde ich eventuell nur den MD5-Hash speichern und bei jedem loginversuch den Hash des eingegebenen Passwortes mit dem in der Datenbank vergleichen.

SaFu 17. Feb 2007 20:42
Re: Passwort *****
 
Was ist das?? :gruebel:

(Anfänger)

inherited 17. Feb 2007 20:51
Re: Passwort *****
 
Kurz gesagt: http://de.wikipedia.org/wiki/MD5
Ganz kurz gesagt: Der MD5-Hash liefert dir, zB auf einen String angewandt, bei nahezu jedem unterschiedlichen String einen anderen Hash. Aus dem Hash kann man allerdings nicht ohne weiteres wieder den String gnerieren.

DP-Maintenance 17. Feb 2007 20:52
DP-Maintenance
 
Dieses Thema wurde von "Phoenix" von "Datenbanken" nach "VCL / WinForms / Controls" verschoben.
Leztlich gehts um Visuakisierung, also Frage zu Controls

mkinzler 17. Feb 2007 20:52
Re: Passwort *****
 
Ein Hash-Verfahren ist ein mathematische nicht ein-eindeutiges Abbildungsverfahren. Statt einem Hash könntest du das Passwort auch verschlüsselt in der Datenbank ablegen.

Thanatos81 17. Feb 2007 20:59
Re: Passwort *****
 
Ich bevorzuge eigentlich Hashes (MD5/SHA), da es dann nahezu unmöglich ist, dass jemand das Original-PW zurückrechnet. Viele Benutzer nutzen leider ja ein PW für alles. Ich sehe die Verwendung eines Hashes zur Authentifizierubng gegenüber der Verwendung einer verschlüsselten Verbindung/einer verschlüsselten Datenablage eher als Schutz des Anwenders vor sich selbst ;-)

Dani 17. Feb 2007 21:11
Re: Passwort *****
 
Zitat:
Zitat von Thanatos81
Ich bevorzuge eigentlich Hashes (MD5/SHA), da es dann nahezu unmöglich ist, dass jemand das Original-PW zurückrechnet. Viele Benutzer nutzen leider ja ein PW für alles. Ich sehe die Verwendung eines Hashes zur Authentifizierubng gegenüber der Verwendung einer verschlüsselten Verbindung/einer verschlüsselten Datenablage eher als Schutz des Anwenders vor sich selbst ;-)
Dem stimme ich zu, mit dem Zusatz, dass du nach Möglichkeit einen modifizierten Hash-Algorithmus verwenden solltest, da für Standardverfahren Möglichkeiten bestehen, sehr schnell vom Hash auf das Passwort zu schließen. (siehe z.B. http://www.milw0rm.com/md5/list.php)

Andererseits schützt so ein Hash wirklich nur den Benutzer vor dem Serverbetreiber, oder bei kompromittierten Login-Datenbanken. Daher empfiehlt es sich, wie Thantanos schon gesagt hat, eine Verschlüsselung zu verwenden, wobei die Schlüssel (Zertifikate) unbedingt vor den Transaktionen über ein "sicheres" Medium (z.B PGP/GPG verschlüsselte Mails) verteilt werden müssen.

Thanatos81 17. Feb 2007 22:23
Re: Passwort *****
 
Richtig, eine Modifikation bringt ein Sicherheitsplus, allerdings ist dieses imho bei Passwörtern, die ja meist nicht sonderlich lang sind nicht so erheblich. Die Nutzung von Zertifikaten und deren Verteilung per PGP/GPG wäre natürlich wünschenswert, ist abr meist nur im professionellen Umfeld durchführbar. Stell dir mal vor, Lieschen Müller wollte eBay nutzen und müsste sich erst mit oben genannten Dingen auseinander setzen.

Das mit dem Punkt, dass die Verwendung eines Hashes nur vorm Severbetreiber schützt, würde ich so nicht unterschreiben. Folgendes Szenario: PW wird als Kalrtext gespeichert. Ein Angreifer kommt an die Daten, der Benutzer nutzt mit der selben E-Mail-Adresse-Passwort-Kombi auch noch eBay und Amazon... Ähnliches gilte bei schwach verschlüsselten Daten, oder wenn der Cracker ebenfalls an den Schlüssel kommen kann. Kommt der Cracker hingegen nur an Hashes, schaut der erstmal in die Röhre ;-)

Aber, eine Diskussion über die Vor- und/oder Nachteile verschiedener Möglichkeiten PWs unkenntlich zu machen gehören nicht hier hin, dafür sollten wir dann nen Thread im K&T aufmachen.

Deswegen mal wieder On-Topic:
fuknersascha, falls du eine MD5-Implementation inklusive Quelltext haben willst, sag Bescheid. Irgendwo auf meiner Platte liegt noch eine, die du dann also auch modifizieren könntest ;-)

SaFu 19. Feb 2007 22:39
Re: Passwort *****
 
Danke für die Anworten aber es ist eigentlich nicht so wichtig bei dem Programm wie sicher es ist, denn man kann icht soviel schaden anrichten wenn man das passwort weis

Wollte das passwort eigentlich nur mit Platzhaltern ausfüllen

aber danke für die Informationen


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:53 Uhr.

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz