[VB.NET2010] Criptare password usata per connessione a MySql

[Løque]

Vorrei fare un sistema di login sicuro usando "username" e "password" che sono immagazzinati in un database (protetto da password ovviamente), se la password dell'username indicato è corretta il login riesce altrimenti no.
Ho praticamente fatto tutto quanto, però il problema (la cosa più importante) è che la password per collegarli al database non è criptata.
Infatti con un semplice reversing chiunque esperto può vederla.
Esiste un modo davvero sicuro per rendere questo sistema di login sicuro, o almeno MOLTO difficile da scoprire le credenziali per connettersi al database?

Se sì come?
L'altro giorno ho chiesto su come criptare un file, poi sul sito microsoft ho trovato dei sistemi di criptazione ma non ho mai fatto una cosa del genere, e comunque criptare una password usata per questo programma va criptata in modo diverso visto che non è semplice testo che va offuscato agli hacker, ma anche un elemento necessario per il login al database, insomma difficile da spiegarsi.

Mi aiutate?
A parte linkare guide, qualche source da poter prendere spunto..

[tas]

leggi qui

[Løque]

Vabè se ho scritto in questa sezione è normale che si parla di vb.net 2010.

[tas]

No non è normale, si può parlare anche di C#, di ASP.NET, di Silverlight, di Windows Phone, di WPF... attieniti al regolamento oppure chiudo la discussione, vedi tu.

[Løque]

Io il titolo l'ho cambiato, ma nella lista dei topic non si vede il cambiamento.
Comunque sai aiutarmi?

[Løque]

Nessuno?

[tas]

Anziché scrivere la password in chiaro potresti "nasconderla" nel codice. L'esempio che segue è semplice ma dovrebbe rendere l'idea:

codice:

Dim password, base As String
password = "ciao"   'facilmente determinabile decompilando il codice
base = "abcdefghijklmnopqrstuvwxyz01234567890!"£$%&/()=?^"
password = base(2) & base(8) & base(0) & base(14)

Ovviamente più sarà complesso il codice più sarà difficile determinare la password, questo scoraggerà i tentativi più semplici di hacking. Offuscando il codice dovresti ottenere qualcosa di più sicuro, ma ricordati che l'hacker più esperto saprà sempre come determinare la password, in un modo o nell'altro...

[Løque]

Quindi questo secondo te è il metodo più sicuro per adesso.
Ma ad esempio il programma non può leggere la password ottenendola da una pagina web?
Per non far risiedere questa password nel programma.

[tas]

Non è affatto un sistema sicuro, ma è sempre meglio che niente. Far viaggiare la password su una connessione internet non migliora la situazione, in quanto con un semplice sistema di "sniffing" sarebbe possibile intercettarla. Potresti optare per una connessione sicura (https) ma il problema a questo punto si sposterebbe sull'applicazione, che dovrebbe far capire alla pagina web di avere i titoli per ottenere la password.
Ma mi chiedo a questo punto: perché vuoi blindare il tuo programma? Ha senso proteggere il database con una password?

[Løque]

Ti faccio capire che programma ho intenzione di fare.
Non è un programma che userò solo io ma sarà scaricabile da determinate persone.
Però vorrei che non sia condivisibile da loro, nel senso che sarà utilizzabile da chi effettua il login. Cioè anche se una persona lo scarica, se non ha superato il login non può accedere al programma in se per se. Alcuni potranno condividere user e password, ma per questo ho pensato di immagazzinare nel database anche il loro seriale di cpu.

Possibile che il vb.net non abbia una cosa adatta per questi tipi di cose?
Io ho comprato un programma che lo possono usare solo chi fa il login e funziona dannatamente bene, nel senso, ci sono migliaia di persone che lo usano e non si è mai sentito di un hacking.
Quindi sì, il database ha bisogno di password sennò basta saperne l'indirizzo e accedere senza problemi e poter modificare tutto.