- - PR -
パスワードを開発者(私)にも判らなくする方法(Winアプリ)
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2005-10-30 20:43
こんにちは。
ちょっと抽象的で申し訳ないんですが Windowsアプリで業務用パスワード管理(Windowsアカウントとは別の)を行うために パスワード入力用の画面を作って暗号化してDBへ保存という仕組みを これから開発したいと考えているのですが できれば開発者である私にもパスワードが理論的に見えないようにしたいと思っています。 で、まずは実務的に見えないということでもかまわないのかなと思います。 抽象的で申し訳ありません。 セキュリティ上のシロートではどういう問題が発生するのかよくわかりませんが 例えば、認証用のコードが盗まれた場合に悪用されないためであったり 例えば、ものすごいハッカーが偽装コードを描いても大丈夫にしたいとか 例えば、なにか問題が発生した場合に私が容疑者になりたくないということであったり 例えば、私が乱心した場合にも大丈夫だったり とりあえず私のレベルではこれは不可能だなという判断にならざるをえないのですが 皆様のご意見を拝借したいと投稿させていただきました。 まずはどのようなアプローチが考えられるのか、ご意見や事例など伺えれば幸いです。 | ||||
|
投稿日時: 2005-10-30 21:48
取りあえずハッシュを使うのが常套かと。 --追記 マシンに管理者でログイン出来たりDBを操作できたりする人であれば 最悪何でも出来てしまうでしょうから、その辺は別の話ですね。 [ メッセージ編集済み 編集者: なちゃ 編集日時 2005-10-30 22:04 ] | ||||
|
投稿日時: 2005-10-30 21:59
なちゃさん、ありがとうございます。
まずは、どのあたりの資料から勉強したらよろしいでしょうか? | ||||
|
投稿日時: 2005-10-30 22:06
ごめんなさい。いつも舌足らずです。 このあたりの資料を探していると、いつのまにかWeb環境の資料へ行き着いてしまうので なんだか混乱しているのです。 どのあたりから入っていけば解決へとつながっていきますでしょうか? | ||||
|
投稿日時: 2005-10-31 00:11
crypt() は?
md5() は? 無い!? | ||||
|
投稿日時: 2005-10-31 01:57
ハッシュに関しては…… https://www.ipa.go.jp/security/pki/023.html ……辺りが分かりやすいのではないかと思います。 [ メッセージ編集済み 編集者: 永井和彦 編集日時 2005-10-31 01:59 ] | ||||
|
投稿日時: 2005-10-31 05:49
コブラさん、永井さん、ありがとうございます。
暗号化アルゴリズムについてはSHA1でいきたいと思います。 そこで問題なのですが、その場合テキストボックスかなにかでパスワードを受け取るとすれば 私の目の前を通り過ぎるときは平文となると思われますが この部分はなんともならないものでしょうか? 例えば、そういうコントロールを作ってDLL化したとすれば、アプリケーションコードでは見えなくなるかなとも思ったのですが 逆に脆弱性を生んでしまうのかもしれないのかなとか よくわからないだけにそういうことが杞憂なのか現実の脅威なのかも判断できないのです。 | ||||
|
投稿日時: 2005-10-31 07:40
横入りですが・・。
>私の目の前を通り過ぎるときは平文となると思われますが この状況はユーザが操作しているマシンおよびプロセスに デバッガをかけているという状況でしょうか? その状況だとしたら盗聴を防ぐことは不可能だと思います。 #すくなくとも今のWindowsアーキテクチャでは。とくにデバッグ特権などをもっていれば、キーストロークもフックできると考えられるので。 |