Хранение паролей

[kalif]

Всем привет.
Суть проблемы: в настройках программы необходимо хранить пароль доступа к СУБД. Сейчас он храниться открытым текстом, но это не есть гуд.
Подскажите как лучше скрыть пароль от посторонних глаз без самостоятельной реализации алгоритма шифрования?

[Omg]

Думаю, что никак. Если есть данные хранимые на диски и их необходимо защитить от прочтения, то единственный вариант - шифрование.

[kalif]

А в Qt нету готовых решений на эту тему?

[SimpleSunny]

Смотря от кого прятать будете.
Можно использовать простой XOR http://www.prog.org.ru/topic_13420_0.html

Если модель угрозы "более продвинутая", то тут уже особо не спасешься, так как можно прослушать снифером сетевой трафик и получить пароль в открытом виде, или скопировать программу домой и декомпилировать ее и узнать пароль.

[kalif]

Тоже подумывал использовать обычный XOR, скорее всего так и сделаю.
А прослушка трафика не страшна, так как работа ведется с локальной БД.

[kirill]

OpenSSL - посмотри, я в блоге писал как его использовать для Qt.
http://qtcoder.blogspot.com/2010/02/qt.html

[developer]

Можно сделать еще так.

Береш MD5 от пароля, сохраняеш в базу.
Юзер вводит пароль и нажимает Ентер, берем MD5 от введеного пароля и проверяем на равность с MD5 из базы.
Если равны - значит пускаем дальше, если нет значит баним.

[kirill]

Можно сделать еще так.

Береш MD5 от пароля, сохраняеш в базу.
Юзер вводит пароль и нажимает Ентер, берем MD5 от введеного пароля и проверяем на равность с MD5 из базы.
Если равны - значит пускаем дальше, если нет значит баним.

А ему не надо чтобы юзер вводил. Он хочет сам вводить его в базу, а лежит он у него во внешних настройках в открытом виде.

[Prm]

Cryptopp тебе в помощь! Отличная криптографическая библиотечка.

[xokc]

Хранить его в ресурсах Qt в сжатом виде - намного кошернее, чем XOR получится, да еще и пару байт памяти съэкономишь

[asrael]

Можно сделать еще так.

Береш MD5 от пароля, сохраняеш в базу.
Юзер вводит пароль и нажимает Ентер, берем MD5 от введеного пароля и проверяем на равность с MD5 из базы.
Если равны - значит пускаем дальше, если нет значит баним.

я недавно тоже мучался с этим вопросом.. ничего лучше не придумал, чем сохранять в файл настроек шифрованый пароль. для этого есть в Qt функция:

Код:

QString pass_hash = QCryptographicHash::hash(hsh,QCryptographicHash::Md5);

в принципе, обратную операцию сделать сложновато, так что знание hash-суммы ничего вредителю не даст. а программа пусть проверяет, совпадают ли суммы введенного пароля и то, что есть.. или как Вам там нужно.. да и сам файл с настройками можно пихнуть в нетривиальное место на всякий пожарный.. или на съемном носителе его хранить, если совсем тяжко..)

[iRQSX]

Личное мнение: md5 это конечно решение, но не всегда. Вот пример: постгрес на винде при установке просит пароль на подключение к серверу, например укажем "qwerty". Идем дальше, в своей программе надо подключиться к этой базе

Код

C++ (Qt)
db.setPassword("qwerty");
 

если мы тут хотим использовать хеш то его надо еще до установки сервака знать. Неудобно... Вот тоже бъюсь головой об стену как реализовать авторизацию и подключение к базе. Даже если использовать обратимый алгоритм шифрования то встает вопрос где хранить ключи шифрования.
p.s.

Код

C++ (Qt)
QString pass_hash = QCryptographicHash::hash("qwerty",QCryptographicHash::Md5); 

выдает такой хеш: \xaf\xa0\xcbT\xc1nr\x2-0\x8as\xcc\x61\x96\x94
а сайт выдает e86fdc2283aff4717103f2d44d0610f7
Объясните кто прав или где я накосячил...

[LisandreL]

p.s.

Код

C++ (Qt)
QString pass_hash = QCryptographicHash::hash("qwerty",QCryptographicHash::Md5); 

выдает такой хеш: \xaf\xa0\xcbT\xc1nr\x2-0\x8as\xcc\x61\x96\x94
а сайт выдает e86fdc2283aff4717103f2d44d0610f7
Объясните кто прав или где я накосячил...

Код

C++ (Qt)
QString pass_hash = QCryptographicHash::hash("qwerty",QCryptographicHash::Md5).toHex();

А хеш - d8578edf8458ce06fbc5bb76a58c5ca4.

e86fdc2283aff4717103f2d44d0610f7 - это qwertyu.

[iRQSX]

Спасибо за ответ. Есть еще одна заморочка: делаю

Код

C++ (Qt)
qDebug()<<QCryptographicHash::hash("qweqwe",QCryptographicHash::Md5).toHex();
 

 
получаю efe6398127928f1b2e9ef3207fb82663

установил такой же пароль(qweqwe) на пользователя в постгресе получаю такое:

то есть хеш md5d2d430490cc35011e0941f20108c8c4e
Создаю еще одного пользователя с таким же паролем хеш другой...

Приставка "md5" стандартная, но остальное все равно совсем не похоже

[LisandreL]

установил такой же пароль(qweqwe) на пользователя в постгресе получаю такое:
то есть хеш md5d2d430490cc35011e0941f20108c8c4e
Создаю еще одного пользователя с таким же паролем хеш другой...
Приставка "md5" стандартная, но остальное все равно совсем не похоже

Солит чем-нибудь.
Md5 в чистом виде уже не используют для хранения пароля.
Для простых паролей они давно просчитаны, поэтому по хешу можно будет восстановить пароль, как я в прошлом посте по e86fdc2283aff4717103f2d44d0610f7 нашёл "qwertyu".