Salve,
ho sviluppato un'applicazione semplice dove viene utilizzato come database access, e siccome ho impostato una password al db faccio la connessione al db con user e pass, solo che io conservo il nome del db nel registro di sistema, ma vorrei avere un consgilio dove nascondere la password e come, naturalmente nel registro è troppo facile, nell'applicazione basta prendere un decompiler e la password compare;
Suggerimenti?
Dipende dal livello di sicurezza che desideri. E' cosi importante nascondere in modo sicuro la password?
L'accesso al database è automatico o hai una form dove inserire la password?
Sbagliare è umano, perseverare è diabolico.
Grazie per avermi risposto Pirelli2,
non c'è niente di vitale, si ho una form dove viene scelto il db a cui collegarsi user e password, ma io vorrei che la password fosse già registrata senza che venga inserita.
E se la mettessi nel registry criptata con un algoritmo MD5? Non dovrebbe essere reversibile e poi quando effettui la procedura di autenticazione avrai qualcosa del genere (te la riporto in pseudocodifica)
che ne pensi?codice:IF nomedb = nomedbReg AND Get_MD5(password) = passwordReg THEN Accedi ELSE Esci
Mi sa proprio che così non va.Originariamente inviato da motogpdesmo16
E se la mettessi nel registry criptata con un algoritmo MD5? Non dovrebbe essere reversibile e poi quando effettui la procedura di autenticazione avrai qualcosa del genere (te la riporto in pseudocodifica)
che ne pensi?codice:IF nomedb = nomedbReg AND Get_MD5(password) = passwordReg THEN Accedi ELSE Esci
Lui puoi si memorizzare nel PC il valore hash della password, il problema che proprio per il fatto che la codifica non è reversibile non può riottenere la password, ma al limite fare un confronto con il valore hash memorizzato e un valore hash calcolato con una password introdotta via Form, ma a quel punto non serve memorizzare la password visto che deve digitarla.
Sbagliare è umano, perseverare è diabolico.
infatti credo che la soluzione di criptare la password non vada bene, perchè per effettuare la connessione al db non bisogna passare la password in chiaro?
La password dell'utente va sempre registrata nel database, e deve essere ovviamente criptata.
si ma non capisco, se io assegno al db access una password criptata o in chiaro la connessione al db richiede sempre la password che sia criptata o meno, quindi in questo caso che differenza c'è? sempre una stringa devo inserire nella connessione o sbaglio?
Io mi sto riferendo alla password utente , forse tu ti riferisci invece alla password del database Access .Originariamente inviato da barnico
si ma non capisco, se io assegno al db access una password criptata o in chiaro la connessione al db richiede sempre la password che sia criptata o meno, quindi in questo caso che differenza c'è? sempre una stringa devo inserire nella connessione o sbaglio?
Se è così allora hai ragione tu, non può essere criptata.
Può solo essere resa 'complicata', ma ti avverto che non servirà a niente.
Access accetta al massimo 20 caratteri (almeno per le versioni 2002-2003 e 2007)
ed in giro per il web trovi un sacco di programmi che ti trovano la password in pochi secondi.
Se un utente anche sprovveduto si mette in testa di forzarla, il modo lo trova.
Davo per scontato che lo sapessi, per quello che mi riferivo alla password utente.
Comunque, memorizzare la password in un file, registro, ecc. mi sembra una pessima idea.
Io per le password use KeePass (free) ed è ottimo come funzionalità
Ma qui sforiamo nell'OT.
Non avevo letto da nessuna parte che voleva evitare all'utente di inserire la password in un form ad ogni utilizzo dell'applicazione.Originariamente inviato da Pirelli72
Mi sa proprio che così non va.
Lui puoi si memorizzare nel PC il valore hash della password, il problema che proprio per il fatto che la codifica non è reversibile non può riottenere la password, ma al limite fare un confronto con il valore hash memorizzato e un valore hash calcolato con una password introdotta via Form, ma a quel punto non serve memorizzare la password visto che deve digitarla.
Permessi di invio
Rispondi quotando