5
WINAPIを使用しているWindowsマシンのログインユーザーのパスワードを使用して、特定のデータを暗号化します。私はトークン(またはそのようなもの)を使用する関数を探していましたが、見つけられませんでした。ユーザーのパスワードを使用した暗号化
誰でもその方法を知っていますか?
ありがとうございます! :-)
A
答えて
3
私が前にDPAPIを聞いたことがなかったので、私は、以前にこの答えを書かれたが、その後再検討していました。しかし、さらに検討すると、私は以下の意見を述べたいと思います。ここでの重要な序文は、すべてあなたのニーズに依存するということです。二つの相反する可能性が頭に浮かぶ:
あなたはあなたのユーザー完全な保護と利用者が唯一の彼女は関係なく、状況を復号化しないことができるようになります信頼できる暗号化を提供したいと考えています。
あなたはエンタープライズITマネージャーであり、すべての従業員が緊密につながっています。ワークフローの一部としてビジネスデータを暗号化して、お互いのデータを見ることができないようにしたいと考えていますが、管理者はすべてのデータを喜んで読むことができます。
状況(2)にいる場合は、今すぐ読んでから、そのケースに適したDPAPIをお試しください。シナリオ(1)を好むなら、下の私の元の答えをお読みください。
これはおそらく良い考えではありません。理由は次のとおりです。
実際のパスワードは、Windows 3.11などがない限り、システムに保存されません。代わりに、パスワードのハッシュだけが保存され、ログイン時にユーザーが入力したパスワードがハッシュされ、保存されたハッシュと比較されます。
システムから保存されたハッシュを取得することができます(たとえば、管理者権限を持っている場合)。ただし、これが唯一のデータであれば、実際のパスワードではなく、その暗号化キーがそのハッシュから派生します。したがって、システムへのアクセス権を持つ誰もが格納されたハッシュに到達し、そこから比較的簡単に暗号化キーを導き出すことができます。
要するに、しないでください。ユーザーにデータのための専用の新しいパスワードを要求し、そのパスワードのみに使用します。
+0
DPAPIを使用しても、ユーザーに専用のパスワードを要求することができます。これがCryptProtectDataのオプションのエントロピーパラメータです。 –
+0
はい、OPはログインパスワードを特に使いたいと思われます。あなたは、(1)の実装としてDPAPIを使うことができます。 –
+0
合意。あなたの最後の段落にいくつか重点を置いてみましょう:ログオンパスワードではなく専用の**パスワードを求めて、それを明確にしてください。パスワードを入力するようにユーザーに指示してください。 –
7
Windows Data Protection APIはあなたの必要とするように聞こえる。 CryptProtectData and CryptUnprotectData関数は、現在のユーザーのログオン資格情報を使用して暗号化を実行します。
+0
私は疑問に思っています:システム上の管理者は、システム上のどのユーザーによっても保護されていたデータを「保護しない」ために十分な情報を回復できますか?この記事では、資格情報は本質的に単なるパスワードハッシュであると述べています。 –
+0
@Kerrek:ログオン資格情報を使用します。オプションのエントロピーパラメータは、オプションである。管理者は誰にもなりすますことができますが、DPAPIは偽装の下では機能しません(私は前にこれを使用することをあきらめる必要がありました)。それは働くために寛大であるかもしれないが、それはいくらか努力を要する。 –
+0
私はもう少し低レベルを意味します:暗号化は、パスワードハッシュをキーとして使用する既知の暗号であるため、管理者はシステムからすべてのハッシュを取り出し、ブロブを直接復号化できますか? –
0
独自のログインアルゴリズムを設計する代わりに、Kerberos(Linuxベースの認証サーバー、またはKerberosを使用する他のサーバー)/ LDAPフレームワーク(Windowsサーバー)を使用します。
WindowsプラットフォームSDK &サードパーティライブラリには、これらのフレームワークを持つコネクタがあります。 KerberosについてのMSDNで
-1
How to safely store a password
のWin32 bcryptの:http://msdn.microsoft.com/en-us/library/aa375421%28v=vs.85%29.aspx
+1
質問は、パスワードの保存ではなく、データの暗号化について質問します。 –
関連する問題
- 1. パスワードを使用したWinForms暗号化
- 2. Springを使用したパスワードの暗号化/復号化
- 3. ユーザーが入力したパスワードを使用したWebCrypto文字列の暗号化
- 4. Sybase BCPのユーザーとパスワードの暗号化
- 5. データベースとユーザー入力の暗号化されたパスワードと暗号化の比較
- 6. ユーザー名とパスワードの暗号化
- 7. ユーザーのパスワードを使用してデータを暗号化するAES暗号化の例のクラス
- 8. OpenAM:RESTFUL API - 暗号化/暗号化パスワード
- 9. ユーザー入力パスワードでDESで暗号化
- 10. パスワードの暗号化
- 11. パスワードの暗号化
- 12. 暗号化されたパスワードを使用したカスタムログインjoomla
- 13. Symfony暗号化パスワード
- 14. パスワードを暗号化するために使用される暗号
- 15. パスワードの暗号化/復号化スプリングセキュリティ
- 16. パスワードでの暗号化と復号化
- 17. ceasar暗号化を使用したOTP暗号化
- 18. CryptoJs暗号化とRijndaelManagedを使用したC#暗号化 - エラー
- 19. カスタムMembershipProviderのパスワードの使用を暗号化/復号化しますか?
- 20. パスワードを暗号化する
- 21. Sails.js - パスワードを暗号化
- 22. QMLパスワードの暗号化
- 23. パスワードの暗号化方法
- 24. Powerbuilder Datawindowパスワードの暗号化
- 25. Oracle:パスワードの暗号化
- 26. ダーツ/ gcloudを使用したユーザー提供の暗号化キー
- 27. パスワード用のクライアント/サーバー暗号化
- 28. MysqliDBを使用してパスワードを暗号化/復号化する方法
- 29. 暗号化されたパスワードのセキュリティ
- 30. VB6パスワードを使用してテキストを暗号化
ただ、これを明確にする:あなたは最終的にあなたが正しい暗号化しているデータを回復することができるようにしたいですか?あなたはユーザーのパスワードを保存しようとしていませんが、それを使って暗号化キーを派生させようとしていますよね? –
絶対に正しく! – TCS