Научный форум dxdy

Было реализовано следующее задание: пользователь вводит логин и пароль, проверяется совпадение введённых данных с данными в текстовом документе. Таким образом если злоумышленник получит доступ к текстовому файлу то он сможет изменить пароль на известный лишь ему. Вопрос в том, какими способами можно обезопасить программу чтобы это предотвратить? Уже есть ответы:
хэшированием, криптованием различными методами
нужны ещё хорошие способы

Надо переименовать файл с паролем. Вместо "password" назвать его "Virus!!! ne_smotrite, opasno ^-^".

ну когда мне захочется посмеяться я зайду на другой форум

По-хорошему, не спасает от квалифицированного злоумышленника при такой постановке задачи. Имея доступ к программе проверки и файлу с хэшами, злоумышленник сможет посмотреть свой вычисленный хэш дебаггером и заменить его в документе.
Нужно шифровать сам документ, так, чтобы он расшифровывался только при известном пароле.

Куда вводит? Очевидно есть некая прорамма, которая запрашивает логин и пароль?


Затем вы получите доступ к текстовому файлу, узнаете пароль, известный лишь злоумышленнику, и сможете заменить его на известный лишь вам. И так далее.
Кто или что мешает зашифровать текстовый документ? Тогда злоумышленник сможет его испортить, но не сможет изменить.


Текстовый файл на флешку, флешку в сейф, сейф в другой сейф, и обязательно выставить круглосуточную охрану. По-моему, неплохо.

А если серьёзно, существуют другие варианты, кроме шифрования? Попробуйте в начало текстового документа вставить: "смотреть чужие документы нехорошо".

Это учебное задание, просто поиграться или задача для реального применения?
Например, в системе программ 1С:Предприятие 7.7 список пользователей с паролями хранится в одном файле users.usr , файл зашифрован. Но никто не мешает удалить этот файл или заменить его своим, чтобы зайти в базу. Если только не принять меры по ограничению прав доступа пользователей к файлам на уровне операционной системы, тогда пользователь может запустить приложение и работать в нем со своими правами, но не может скопировать базу или повредить ее. И это реально применяют на практике повсеместно.

Удалить можно. А чтобы заменить его своим, нужно знать, как и чем он был зашифрован - чтобы свой так же зашифровать, и 1С его поняла.

Рассказываю страшную тайну - создаешь пустую базу, заводишь там пользователя Администратор с полными правами, назначаешь ему любой пароль, сохраняешь список пользователей - и файл замены готов. Хотя, я так ни разу не делал - мне было проще удалить файл.

да, это учебное задание,было таким: Реализовать оконное приложение, загружающее из файла имена пользователей и пароли, а так же картинки в два словаря (пользователь-картинка и пользователь-пароль), предлагающее пользователю ввести пароль и, в случае ввода правильного пароля, выводящее на экран приветствие и картинку, назначенную этому пользователю."
приложение реализовано, но вопрос поставлен преподавателем так:как повысить уровень безопасности?
ответ был мною дан- хеширование, криптование, на уровне операционной системы правильно, но требует ещё надежный способ. вот прошу помощи, кто знает какой.

Имхо, навскидку, тут как минимум 2 варианта:
1) у пользователя есть вариант прямого доступа к файлу с паролями. Тут нужно криптовать файл, делать невозможным его подмену и т.п.
2) исключить возможность доступа пользователей к файлу. Защищая место его расположения на уровне ОС, или организуя запрос к нему по вэб-каналу (для авторизации просто запрос на чтение, для добавления юзеров - отдельная обработка файла по заявкам юзеров) и т.п. методы.

Разделить шифрование и дешифрование файла по разным приложениям. То, которое шифрует, спрятать подальше, а ещё лучше уничтожить сразу после использования. И обязательно не забыть убить программиста, который его писал - вот и не будет у злоумышленника возможности подменить файл.

Ну или как вариант, использовать несимметричное шифрование (RSA), там разные пароли для шифрования и дешифрования, и знание одного пароля не позволяет вычислить второй. Бумажку с паролем для шифрования сжечь сразу после использования.

l
да, да, мёртвые обычно не разговорчивы
спасибо всем большое!