Discussion :

[dz_bill]

salut tous le monde voila j'ai créer une application et je veut la protéger avec un mot de passe mais le probleme qui se pose c'est que je veut pas enregistrer le mot de passe dans une table car on ne peut intéroger cette table avec un sgbd comme paradox.alors je veut l'enregistrer dans une dll ou bien dans la basse de registre
quelqu'un peut-il m'aider
quel est la manip a suivre??

[dd_garion]

Une solution parmis tant d'autres :

Tu crées dans le registry le mot de passe (avec la clé qui va avec).

Quand tu démarres l'appli, tu li cette clé et compare ce qui est entré par l'utilisateur et la valeur contenue dans la clé.

un truc du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
var 
   monmdp : string;
   monRegistry : TRegistry.create;
begin
monRegistry.RootKey := HKEY_CURRENT_USER;
if monRegistry.OpenKeyReadOnly('Software\TonAppli\')  then
   monmdp  := monRegistry.ReadString('maCleMotDePasse');
if monmdp <> mdtentrerparutilisateur then
   application.terminate;
end;

[droggo]

Fio,

Où que tu décides de stocker ton mot de passe, prends garde à ne pas le stocker en clair

[Mihalis]

pq tu ne peux pas interroger ta base de données ???

[Graffito]

Bonjour,

je veut pas enregistrer le mot de passe dans une table

Le mot de passe ne doit pas être enregistré : c'est son CRC que l'on enregistre et que l'on compare au CRC calculé à partir du mot de passe de l'utilisateur. Si l'utilisateur ne connait pas l'algo de CRC utilisé, il n'a aucun moyen de remonter au mot de passe.

A la saisie :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

WriteTo_CRC_DB("user1",CRC(PassWord_Of_User)) ;

Au Controle :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
UserCRC:=ReadFrom_CRC_DB("User1");
Ok:= (UserCRC = CRC(PassWord_To_Check))

Utiliser par exemple une fonction de CRC polynomiale de son choix (comme MD5).

[Okaryn]

Si l'utilisateur ne connait pas l'algo de CRC utilisé, il n'a aucun moyen de remonter au mot de passe.

Enfin, même en connaissance l'algo, il aura du mal à remonter jusqu'au mot de passe, à moins de disposer d'une puissance de calcul qu'aucun particulier ne dispose et de quelques années devant lui

Voici un site proposant des composants pour calculer les CRC ainsi que pour crypter des données : http://www.cityinthesky.co.uk/cryptography.html

Si ta base est accessible par les utilisateurs via des requêtes, en plus de mettre un mot de passe, il te faut aussi crypter tes données dans la base de données. Et s'il s'agit d'une application publique, il te faudra même utiliser un cryptage différent pour chaque utilisateur car il est facile pour un hacker de passer outre le mot de passe.

bon courage !

[CapJack]

Une méthode efficace (je ne me rappelle plus du nom) consiste à crypter chaque mot de passe autorisé en l'utilisant lui-même comme clef.
Imparable avec un algorithme de cryptage efficace.

[dz_bill]

Je remercie tous le monde pour cette esprit d’équipe je vais essayer tous sa
merciiiiiiiiiiiiiiiiiiiiii

[Clorish]

Solution la plus utilisee sur le web et autre :
Stocker directement le mot de passe crypté mais en utilisant le cryptage MD5.

C'ets un algo non reversible. Donc impossible a retrouver en clair le mot de passe.
La comparaison se fait en cryptant le mot de passe saisi et en comparant les mots de passe crypté. 2 cryptage identique = 2 mot de passe egaux (le code md5 a te genere depuis le meme mot de passe en clair)

A part tester TOUTES les combinaisons de mots de passe possible jusqu'a tomber sur la bonne ... un gars qui choppe le mot de passe crypte en md5 ne peut decouvrir le mot de passe en clair.

Bon apres si on veux faire les choses bien, il faut proteger la zone memoire ou sera stocké la variable servant de test car il pourrait injecter directement en memoire le mot de passe crypté md5 qu'il vie nde lire a la place ce celui issu de la saisi comme ca le test reussi a chaques coups
Mais bon, dans ce cas la c'est plus simple de faire sauter le test "if" en mode hexa et remplacer dans le binaire par un "if true" ....

Note : www.Torry.net propose une unitee de cryptage md5 toute simple ... je l'ai recuperee un jour et ca marche bien

[Clorish]

tiens une chose aussi : Quelque soit l'algo utilisé, tu peux le lancer 2 ou 3 fois successivement sur le resultat de la fonction precedente pour brouiller les pistes. On s'attend en general a ce que le mot de passe en clair soit derriere le premier algo.

Tu peux aussi combiner les algos pour cryper successivement le mot de passe en clair, avec 2 ou 3 algos differents

[Okaryn]

Ces méthodes ne sont valables que si on ne peut accéder à la base de données. Sinon, on aura beau crypter le mot de passe de n'importe quelle façon, il se réinitialisera en 2 secondes, sans aucun connaissance en développement ou "hackage".

[Graffito]

Ces méthodes ne sont valables que si on ne peut accéder à la base de données. Sinon, on aura beau crypter le mot de passe de n'importe quelle façon, il se réinitialisera en 2 secondes, sans aucun connaissance en développement ou "hackage".

L'accés à la base de donnée n'est pas suffisant : il faut créer dans la base une enregistrement "user/mot_de_ passe_crypté" et fournir à l'utilisation du programme un input "user/mot_de_ passe" impossible à donner si on ne connait pas l'algoirithme.

Toutefois, protéger l'appli sans protéger la database n'a pas beaucoup de sens.

[Okaryn]

L'accés à la base de donnée n'est pas suffisant : il faut créer dans la base une enregistrement "user/mot_de_ passe_crypté" et fournir à l'utilisation du programme un input "user/mot_de_ passe" impossible à donner si on ne connait pas l'algoirithme.

Dans ce cas, il suffit de créer un utilisateur bidon avec un mot de passe bidon, de recopier ces valeurs dans la base de données et de les affecter à l'utilisateur dont on souhaite réinitialiser le mot de passe.

Toutefois, protéger l'appli sans protéger la database n'a pas beaucoup de sens.

Tout à fait, comme montré quelques lignes au dessus.

Le mieux étant de crypter les données avec une clef dépendante de l'utilisateur, ainsi même en réinitialisant le mot de passe, le clef de décryptage ne correspondra pas et les données resteront illisibles.

[Clorish]

Ces méthodes ne sont valables que si on ne peut accéder à la base de données. Sinon, on aura beau crypter le mot de passe de n'importe quelle façon, il se réinitialisera en 2 secondes, sans aucun connaissance en développement ou "hackage".

Effectivement ... j'ai oublier le fait que le hackeur peut lui meme enregistrer son mot de passe crypté.

Encore faut il qu'il connaisse l'algo pour le crypter

[Okaryn]

Encore faut il qu'il connaisse l'algo pour le crypter

Il n'a pas besoin de connaître l'algo puisque la somme de contrôle est stockée dans la base, donc une fois l'algo effectué. Il lui suffit de lire le résultat directement à l'aide d'un simple SELECT.

[Clorish]

Il n'a pas besoin de connaître l'algo puisque la somme de contrôle est stockée dans la base, donc une fois l'algo effectué. Il lui suffit de lire le résultat directement à l'aide d'un simple SELECT.

Encore faut il qu'il sache que la valeur stockée est une somme de controle codé a l'aide d'un algo CRC32 ou MD5 ....

ET qui te dit que cette somme n'est pas en fait la somme de controle de la version "string" de la chaine de controle du veritable mot de passe
On peut encore aller loin

Le tout et de ne laisser aucune piste sur l'algo et la methode utiliser pour generer la valeur stockée.