Discussion :

[patricktoulon]

bonjour a tous

Toujours dans le cadre du maileur 2016/2017 version publique

sondage:

préfèreriez vous :
1° enregistrer un mot de passe dans la base de registre
sachant que dans la base de registre seul le PC dans le quel a été enregistré le mot de passe pourra utiliser le fichier

2°dans une cellule
si le fichier voyage le risque de sécurité est plus grand

merci pour les retours

[Invité]

Bonjour Patrick,
La base de registre pourquoi pas, mais tu limites la portabilité de l'application et si l'utilisateur n'a pas les droits administrateur...

Dans une cellule du fichier, autant données le code!


Non , définir dans le code un clé de cryptage.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
Clé ="Cosmopolite"
Password ="123456789"
I2=0
For i =1 to len(Password)
I2=I2+1
If I2>len(clé) then I2=1
  t=t & chr(asc(mid(Password,i,1))-asc(mid(Clé,I2,1)))
Next

La tu peux écrire le password dans un cellule!

http://www.developpez.net/forums/d13...l/#post7453253

[cerede2000]

Bonjour à tous

Bonjour Patrick,
La base de registre pourquoi pas, mais tu limites la portabilité de l'application et si l'utilisateur n'a pas les droits administrateur...
...

Pas tout à fait exact !
Que l'utilisateur soit admin ou non de la machine local il à les pleins droits sur sa ruche HKU qui est monté en même temps que sa session sous HKCU

C'est d'ailleurs comme ça que procède nombreuse applications et heureusement d'ailleurs

Quand à la question de départ de Patrick, moi je verrais bien un choix proposé à l'utilisateur en fonction de ce qu'il recherche.
Soit une sauvegarde dans le registre ce qui lui garantie que même si le fichier est mis à dispo les infos de sécurités ne seront pas présentes soit intégration dans le fichier en lui même avec les fonctions de cryptage/décryptage proposé plus haut.

Je reviens également sur le MD5 évoqué par rdurupt, certes il n'est pas réversible par algorithme, mais aujourd'hui il est devenu très peu fiable !
On trouve de nombreux dictionnaire MD5 qui permettent aisément de trouver un ou quelques mots (en effet il est bon de rappeler que le MD5 possède des collisions) de départ à partir d'une chaîne MD5, c'est donc à proscrire comme unique cryptage.

[Invité]

Bonjour,

On trouve de nombreux dictionnaire MD5 qui permettent aisément de trouver un ou quelques mots

C'est exacte enfin disons qu'ils donnent le même résultat de hachage pas le même password!

Passer A au md5 puis B concaténer les 2 et le repasser au md5 pour dire salut JoJo!

Les. Hackers de la planète ce damneraient pour réussir ça.

C'est l'enjeux qui prime! C'est ça que nous devons expliquer , c'est ça qu'il faut intégré et utiliser en conscience.

Quel niveau de sécurité avons nous besoin? Quel moyen disposons nous pour parvenir à ce niveau des sécurité? Là réside la vrai question!

[78chris]

Bonjour

Pour ma part, je le mets souvent dans une cellule d'un onglet veryHidden et je nomme la cellule avec un nom pas explicite.
Dans la mesure où j'utilise pas mal de plage nommées, le nom est noyé dans la masse et sa valeur n'est pas affichée.

[Invité]

Petite précision,la valeur absolue de A - B va donner chr(1)

La valeur absolue de Chr(1) - B va donner A!

La clé de cryptage personnalise le résultat et interdit la lecture du password en claire dans une cellule!

Maintenant tu peux en plus de verrouiller vba masquer la cellule de résultat et brider l'accès à l'onglet.

On le sait il n'y aura rien de vraiment protégé mais dissuasif oui!

[unparia]

Bonjour
- s'il s'agit d'un mot de passe qui doit être utilisé dans une autre application (programme tiers appelé) : une inputbox et laisser l'utilisateur donner ce mot de passe, puisqu'il sera contrôlé par le programme appelé
- s'il s'agit d'un mot de passe nécessaire à la continuation du code de l'appli elle-même, aucune des solutions proposées ne sera viable et sérieuse si l'on ne sait pas mettre en oeuvre un mécanisme empêchant sans faille l'accès au code du classeur utilisé. Il suffira en effet à l'utilisateur malveillant ou mal intentionné de "shunter" l'expression conditionnelle écrite.
Le shunt le plus connu est de type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

If True then ...

amitiés

[patricktoulon]

Bonjour
- s'il s'agit d'un mot de passe qui doit être utilisé dans une autre application (programme tiers appelé) : une inputbox et laisser l'utilisateur donner ce mot de passe, puisqu'il sera contrôlé par le programme appelé
- s'il s'agit d'un mot de passe nécessaire à la continuation du code de l'appli elle-même, aucune des solutions proposées ne sera viable et sérieuse si l'on ne sait pas mettre en oeuvre un mécanisme empêchant sans faille l'accès au code du classeur utilisé. Il suffira en effet à l'utilisateur malveillant ou mal intentionné de "shunter" l'expression conditionnelle écrite.
Le shunt le plus connu est de type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

If True then ...

amitiés

c'est pour cela que je posait la question
car enregistrer les mdp voir même adresse mail émetteur dans un fichier externe".ini" ou dans la base de registre utilisateur série "HKroot" me semble le plus sécurisé

rien n'empêche de prendre le même fichier et le faire fonctionner sur un autre pc :il faudra refaire la même opération c'est tout

[patricktoulon]

bonjour a tous

@rdurupt

portabilité ok mais sécurité en moins

le maileur sans les adresse mail et MDP pourront fonctionner partout

actuellement les adresse émetteur sont enregistrées dans les cellules


les mots de passe sont écrit a la main mais ne sont nécessaires que pour GMAIL (avec le smtp FAI) pas besoins de MDP)

ton astuce de cryptage est réversible non? Sachant que si on regarde le code on peut faire le décryptage surtout que protéger le projet avec un MDP n'est pas vraiment efficace

mon soucis c'est que si le fichier est utiliser frauduleusement par un autre utilisateur qui ne correspondant pas a l'utilisateur dans le sheets acceuil il aura toute les données

tandis qu'enregistrer dans regedit par vba dans hkroot qui autorise les inscriptions même en mode invité (non administrateur) (j'ai fait le test!!!)sécuriserait un max en cas de perte du fichier

ou au min le faire dans un fichier ".ini" dans le pc

cela n'empêche pas que si utilisation du fichier sur divers pc on peut toujours taper l'adresse émetteur et MDP a la main dans les textboxs

je vais tester ton cryptage ca m'intéresse pour une autre app excel que j'avais faite

[Invité]

Personnellement dans une de mes application, mais la on est en Vb.net j'utilise une dll.

J'utilise une bases de données SqlLite dans laquelle ce trouve les informations pour me connecter à une bases de données Sql Server.

Les informations ont un cryptage bien défi et chaque utilisateur doivent ce connecté à sqllite et disposent de leurs propres système d cryptage.

Pour connaitre la clé de décryptage de la licence je récupère des informations de la machine SsId Numéro de série du disque dur,etc.. Et ça me permet de récupérer le informations originelles de la connexion Sql Server.

Ainsi les informations sur le l'adresse mail,serveur smtp le password sont crypter en fonction de l'emplacement de sauvegarde du fichier Sqllite , et les informations de décryptage en fonction d la machine, nom d domaine,Etc ... De la machine de l'utilisateur!

En d'autres terme le processus de décryptage est lui même crypter en de la machine utilisatrice!

J'ai 15 machine qui fonctionne sur ce principe. Le mode opératoire d'attribution de licence en ses limitations sont définis dans le cryptage de base.


Si tu replace le fichier Sqllite sur un autre disque dur ça ne marche plus.

Si tu ouvre la base de données les tables et les champs son en md5 et le texte en Champollion!

Tu peux encapsulées ton code de cryptage dans un dll Vb6.

http://www.developpez.net/forums/d15...l/#post8711676

[eriiic]

Bonjour,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

t=t & chr(asc(mid(Password,i,1))-asc(mid(Clé,I2,1)))

plante chr() si résultat négatif.
Utiliser Xor évite cet inconvénient, brouille mieux et est réversible :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
Sub test()
    Clé = "Cosmopolite"
    Password = "123456789"
    ' Password = "r]@YZFXTP" 'pw codé à décoder
    I2 = 0
    For i = 1 To Len(Password)
        I2 = I2 + 1
        If I2 > Len(Clé) Then I2 = 1
        t = t & Chr(Asc(Mid(Password, i, 1)) Xor Asc(Mid(Clé, I2, 1)))
    Next
End Sub

Il y a aussi la possibilité des noms cachés pour le stocker dans le classeur.
eric