Delphi-PRAXiS - Delphi Passworthash

Seite 2 von 2

40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Netzwerke (https://www.delphipraxis.net/14-netzwerke/)

- - Delphi Passworthash - einfach und schnell (https://www.delphipraxis.net/147460-passworthash-einfach-und-schnell.html)

p80286

9. Feb 2010 14:13

Re: Passworthash - einfach und schnell

Wenn Deine Frage beantwortet ist,
Würdest Du sie dann bitte auch so kennzeichnen?

Gruß
K-H

SonicTTH

9. Feb 2010 15:35

Re: Passworthash - einfach und schnell

Ja, na klar doch - Danke für den Hinweis :) Hab ich jetzt getan :)

shmia

9. Feb 2010 19:16

Re: Passworthash - einfach und schnell

Wenn man MD5 verwendet, ist es sehr sinnvoll das Passwort zu "salzen":
Also:

Delphi-Quellcode:

			const SALT_STR='muggel';

hash := MD5_HashForString(SALT_STR + passwort_klartext);

Grund:
Es gibt Webseiten (

http://md5cracker.org) bei denen man nur einen MD5 Hashwert eingeben muss und man bekommt ein Passwort im Klartext angezeigt.
Das gilt zumindest für gängige 0815-Passwörter.

SonicTTH

9. Feb 2010 20:06

Re: Passworthash - einfach und schnell

Das ist ein sehr guter hinweis :)

Ich lasse von meinem programm den hash vom hash vom passwort speichern anstatt den hash vom passwort. Bringt das was nach eurer professionellen meinung? ^^ :)

rollstuhlfahrer

9. Feb 2010 20:14

Re: Passworthash - einfach und schnell

Wenn dein Programm debuggt wird, dann sieht man das eh und kann sich die PWs also zurechtlegen, da nützt werder das salzen noch zuckern noch sonst irgendwas. Also das mit dem doppelten Hash ist keine schlechte Idee, aber nicht besser als das mit dem Salzen. Der Hash wird auf beide Arten schwerer zu knacken sein.

Bernhard

himitsu

9. Feb 2010 20:22

Re: Passworthash - einfach und schnell

Zitat:

Zitat von rollstuhlfahrer

Wenn man aber das selbe Passwort auch noch wo anders verwendet und dort auch noch ein anderer SALT verwendet wird, dann bringt es nichts, wenn man sich zu dem bekannten MD5 ein Passwort suchen/berechnen läßt.

SonicTTH

9. Feb 2010 21:15

Re: Passworthash - einfach und schnell

Also das beste ist immer noch ein gutes passwort, hm?

Gibts möglichkeiten sein Programm eigentlich gegen debuggen schützen? Sozusagen laufzeitver- und entschlüsselung?

Oder zumindest so sachen wie bestimmte routinen irgendwie "unsichtbarer" zu machen im maschinen code?

Klaus01

9. Feb 2010 21:17

Re: Passworthash - einfach und schnell

Zitat:

Zitat von SonicTTH

Man kann feststellen, ob ein Debugger sich eingeklinckt hat ->

isDebuggerPresent

Grüße
Klaus

himitsu

9. Feb 2010 21:27

Re: Passworthash - einfach und schnell

Zitat:

Zitat von Klaus01

Man kann feststellen, ob ein Debugger sich eingeklinckt hat ->

isDebuggerPresent

Es gibt Möglichkeiten, aber ALLE lassen sich mehr oder weniger leicht umgehen.

Vorallem diese WinAPI ist sehr leicht zu umgehen, indem man einen API-Hook installiert
und im Hook "nein, kein Debugger da" sagt.
(also zwischen den Zeitpunkten, wo sich der Debugger eingelinkt hat und das nächste Mal diese Funktion abgerufen wird)

Luckie

9. Feb 2010 21:32

Re: Passworthash - einfach und schnell

Zitat:

Zitat von SonicTTH

Gibts möglichkeiten sein Programm eigentlich gegen debuggen schützen? Sozusagen laufzeitver- und entschlüsselung?

Für eine neue Frage mach bitte einen neuen Thread auf. Aber die Suche sollte zu diesem Thema sehr ergiebig sein.

Alle Zeitangaben in WEZ +1. Es ist jetzt 23:07 Uhr.

Seite 2 von 2

40 Beiträge dieses Themas auf einer Seite anzeigen