Probleme mot de passe

**warubi** · 11/05/2007, 18h24

Bonjour a tous ! J'aimerais creer une application qui pourra etre securisee par un
mot de passe mais le probleme c'est que je ne sais pas ou le stocker.
Pouvez-vous m'aider !

**Guze44** · 12/05/2007, 10h45

Bonjour,

Si tu ajoute une classe de cryptage / déryptage à ton appli tu peux stocker ton mot de passe en "chiffré" dans app.config ou autre.
Perso c'est ce que j'utilise pour certains prog manipulant des data sensible, le prog à un module de décryptage. Bon de toute façon la sécurité du pass chiffré n'est pas inviolable, mais le blue ray non plus

**Pol63** · 14/05/2007, 15h06

le framework inclut du cryptage ?

parce que je me demandais sachant que le .net est décompilable à l'identique quoi faire des mots de passes style celui de la connexion à la base de données ...

**SaumonAgile** · 14/05/2007, 15h44

Si tu stockes un HashMD5 dans ton code, il est visible en décompilant mais ça ne change rien au fait qu'il faut trouver une chaine qui génère le même Hash pour se connecter.
De toute façon, à moins de déployer ton appli compilée en natif, tu t'exposes toujours à la décompilation.

Au final, il n'y a pas de sécurité parfaite, mais on peut identifier plusieurs niveaux :
- if (motdepasse_saisi == motdepasse_stocké) -> Contourné directement par décompilation : le mot de passe est en clair.
- if (hash(motdepasse_stocké) == hash(motdepasse_saisi)) -> on sait quel hash il faut générer, reste à faire tourner la machine assez longtemps pour tomber sur une bonne chaine d'entrée) + en décompilant, on peut purement et simplement supprimer le check et recompiler.
- if (serviceweb(hash(motdepasse_stocké)) == true) -> tu masques le hash recherché mais, tu es toujours vulnérable au décompilation/suppression/compilation.
- Compilation en natif avant déployement, on est toujours exposé à un attaquant qui sait lire et altérer le code machine, mais ça met la chose hors de portée de l'utilisateur ou du hacker lambda (adolescement de 13 ans qui va sur astalavista).