Discussion :

[maxxou]

Bonjour,

J'ai une liste de mot de passe (login,passe) sur laquelle je dois m appuyer pour à l ouverture de mon application valider l entrée de l utilisateur ou non. J'aimerais que cette liste soit en xml mais le format pourrait etre autre.Le probleme est comment cacher cette liste pour que l'utilisateur en bidouillant un peu sur la machine ne la retrouve pas.

Je suis ouvert a tout idée, j ai biensur pensée a cacher le fichier et le mettre dans un sous sous repertoire de windows mais existe il une solution plus pro

Merci

[koKoTis]

Tu peut déja ajouter l'atrib fichier caché: Clique droit sur le fichier -> Propriété -> coche la case Fichier cacher

Ou en dos:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

attrib fichier.xml +h

[kanea_iza]

Je ne vois pas comment caché ton fichier à l'utilisateur mais tu peux lui rendre la vie difficile
Cryptage du fichier, l'ecrire dans lui donnée un format spécial,
ne pas ecrire password et login un en desous de l'autre
mais les ecrires un dans a l'autre
mots_de_passe
login
x un remplacer par une lettre qui donnerais la taille du login ou du mots de passe
a toi de faire jouer ton imagination
mlootgsi_nde_passeX => puis cryptage
Mais n'oublie pas c'est interdit par la loi de créer un cryptage indéchiffrable

[buzzkaido]

La solution proposée par AngelUchiwa me parait la plus efficace...

Tu peux faire des trucs incompréhensibles pour celui qui ne sait pas :

Par exemple, pour :
mot de passe : motdepasse
login : login

Tu comptes :
X = taille du mot de passe = 10
Y = taille du login = 5
Z = taille du mot de passe + du login plus des tailles precedentes
= 10 + 5 + 2 + 1 (10 s'ecrit avec 2 caracteres)
= 18

Donc ca donne :
motdepasselogin10518

Ensuite tu melanges :
- 2 lettres du mot de passe
- longueur totale
- 2 lettres du login
- longueur du mot de passe
- reste des lettres du login
- reste des lettres du mot de passe
- longueur du login

Ce qui donne :

mo18lo10gintdepasse5

Tu peux ensuite remplacer tout les caracteres de cette chaine par leur code ASCII, en les ecrivant à l'envers

Et puis un petit cryptage....

A moins que tes données ne soient tres sensibles/tres interressantes, personne ne devrait s'amuser à essayer de comprendre ce que tu as fait...

[maxxou]

ah oui trés interessant vous avez raison il faut que je crypte mes données...

Merci beaucoup pour votre aide rapide et efficace

[Médinoc]

Ou bien, un truc plus classique, le mot de passe haché à sens unique :
Typiquement, on hache le mot de passe, on l'utilise pour créer une clé pour crypter une phrase connue et on sauvegarde la phrase cryptée.

Ainsi, si le mot de passe donné par l'utilisateur décrypte correctement la phrase connue, alors c'est que c'est le bon mot de passe.

[buzzkaido]

Quelle que soit la methode, la personne qui voudra craquer ton code essaiera tres propablement de tracer le code de ton application pour comprendre comment elle fait pour decrypter le mot de passe.

Donc, pour eviter un tel truc, le plus simple est "d'eclater" le code de decryptage :

Tu charges le mot de passe au debut
Tu charges quelques ressources
Tu decrypte une partie du mot de passe
Tu fait un autre truc qui n'a rien a voir
T'inverses tous les caracteres du mot de passe partiellement decrypté
Tu fait un autre truc qui n'a rien a voir
Tu recupere un buffer sur le mot de passse inversé pointé par reference
Tu fait un autre truc qui n'a rien a voir
Tu copie ce buffer à l'envers pour le remettre à l'endroit, octet par octet
Tu fait un autre truc qui n'a rien a voir
Tu termine de decrypter le mot de passe
Tu fait un autre truc qui n'a rien a voir
Tu fait un autre truc qui n'a rien a voir
Tu fait un autre truc qui n'a rien a voir
Au milieu d'un autre truc qui n'a rien a voir, tu compare le mot de passe entré avec celui attendu...

Si quelqu'un si retrouve, c'est qu'il le voulait vraiement !

En tout cas, evite les truc du genre :

L'utilisateur entre un mot de passe
Decryptage
Comparaison
Ok ou pas Ok

Trop simple à tracer... Il suffit ensuite de modifier le code (un petit jmp en assembleur au bon endroit) pour aller directement à OK quelque soit le mot de passe entré....

[Médinoc]

Pour valider ou non l'entrée d'un utilisateur, décrypter le mot de passe est inutile. C'est dans ces circonstances qu'on utilise une fonction à sens unique.

Les seules fonctions qui nécessitent de décrypter le mot de passe sont celles qui transmettent le mot de passe à autre chose (par exemple, la mémorisation de mots de passe d'un navigateur internet).

[buzzkaido]

C'est sûr.

Mais à un moment, il faut bien tester le mot de passe entré par l'utilisateur.

Dans cette comparaison, quelque soit la technique utilisée, il faut bien à un moment faire intervenir soit :

- un cryptage du mot de passe entré pour le comparer au mot de passe crypter
- un decryptage du mot de passe stocké pour le comparer au mot de passe entré
- un cryptage d'une phrase de test à l'aide du mot de passe afin de comparer la phrase de test avec celle attendue.

Ce que je voulais dire, c'est que il est aussi important de bien crypter le mot de passe que de bien rendre illisible le code de cryptage (ou decryptage) et de comparaison, sinon la procedure est facile à craquer.