محل ذخیره Password

Printable View

پنج شنبه 11 خرداد 1385, 21:11 عصر
Mohammad_Mnt

محل ذخیره Password

برنامه ای نوشته ام که حداکثر 255 یوزر می تونه داشته باشه . روی ویندوز کار می کنه و زیر شبکه است . هر یوزر می تونه رمز خودش رو تغییر بده . من این رمز ها رو hash می کنم و توی یه table ذخیره می کنم که دو فیلد داره : userID,userPassword
ولی اگه یه کاربر بیاد رمز hash شده ی خودش رو توی رکوردهای یوزرهای دیگه کپی کنه ، رمز خودش جایگزین اون می شه .
راه حل حفاظت برنامه در این مورد چیه ؟
ممنون
پنج شنبه 11 خرداد 1385, 22:21 عصر
joker

میتونی hash بدست اومده را یکبار هم با نام کاربری کد کنی ... اینطوری هر hash فقط با یک کد کاربری سازگاره

ولی ....برنامه ای که کاربرش بتونه به دیتابیس بقیه دسترسی داشته باشه که ....... :تشویق::تشویق:
پنج شنبه 11 خرداد 1385, 22:24 عصر
Mohammad_Mnt

روش جالبی بود :) روش دیگه ؟
راستی ، من از MSSQL استفاده می کنم . برای همین کاربری که admin باشه می تونه به دیتابیس دسترسی داشته باشه . روی خود دیتابیس هم نمی شه رمز گذاشت . بنابراین راهی نمی شناسم که از دسترسی کاربر جلوگیری کنم :)
پنج شنبه 11 خرداد 1385, 22:48 عصر
houtanal

چرا اصلا یه یوزر دیگه باید بتونه مقادیر جدول رو دستکاری کنه؟
جمعه 12 خرداد 1385, 18:38 عصر
ali_sorouri2005

سلام
houtanal درست میگه شما اصلا نباید بزارین کاربران به بان دستزسی مستقیم داشته باشند !
شنبه 13 خرداد 1385, 08:59 صبح
Mohammad_Mnt

من نمی ذارم ! خودش می ره :) وقتی یه کاربر administrator ویندوز باشه ، می تونه به تمام دیتابیس های mssql دسترسی داشته باشه
راهی برای جلوگیری از دسترسی این کاربر هست ؟
یک شنبه 14 خرداد 1385, 18:33 عصر
hr110

چند راه حل وجود داره که یکی از روشهای متداول به این شرح است:
1- حذف کاربر administrator از لیست کاربران SQL
2- تعریف یک کلمه عبور با مشخصات "کلمه عبور واقعی"
3- برای هر یک از کاربران نرم افزارت یک کاربر که میتونه نامش hash شده باشه در SQL ایجاد کن و از اون برای اتصال به SQL استفاده کن
4- به قول جناب اینپرایز: دستات رو بزار روی دیوار و توکلت به خدا باشه
دوشنبه 15 خرداد 1385, 19:13 عصر
Mohammad_Mnt

1 ) اگه admin ویندوز sql Server رو متوقف کرد و دیتابیس رو جای دیگه attach کرد چی ؟
2 ) منظورتون رو متوجه نشدم !
3 ) یعنی user توی sql ? خوب این چه فایده ای داره ؟
4 ) من هنوز به اون کوچه بن بسته نرسیده ام :)
دوشنبه 15 خرداد 1385, 21:32 عصر
hr110

1- در مسائل امنیتی/حفاظتی اولین مسئله امنیت فیزیکی میباشد :: هر کسی قرار نیست به سرور دسترسی داشته باشه
2- "کلمه عبور واقعی" نیازی به توضیح نداره، مثلا نباید از شماره شناسنامه یا تکرار سال تولد برای کلمه عبور استفاده کرد.
3- اگر سیستم رو درست پیاده کرده باشی هر کاربری تنها به جداول، ویوها و ... خودش دسترسی داره . با تغییر کلمه عبور در نرم افزار شما کاربر SQL هم تغییر میکنه و موارد متعدد دیگر که حال نوشتنشو ندارم :چشمک:
4- اگه رسیده التماس دعا داریم :قلب:
سه شنبه 16 خرداد 1385, 18:04 عصر
Mohammad_Mnt

آقای ربیعی ! برنامه ی من ویندوز اپلیکیشن است و مشتری خودش روی سیستمش نصب می کنه
سه شنبه 16 خرداد 1385, 21:10 عصر
hr110

فرقی نمیکنه، برخی از موارد را باید شما در نرم افزار پیاده کنی و بخش دیگر مربوط به کاربر میشود، خب اگر کاربر نیاز دارد امنیت را به درجه بالاتری ارتقاء دهد همین موارد که عرض شد را مستند کنید تا کاربر شما با رعایت آنها به نتیجه خود برسد.
چهارشنبه 17 خرداد 1385, 10:19 صبح
Mohammad_Mnt

برادر دل انگیز :) مشکل من با همین کاربر هاست . فرض کن دو کاربر از این برنامه استفاده می کنند . من می خوام هر کدوم نتونن با رمز دیگری وارد بشن یا بتونن اطلاعات را با اسم کاربر دیگه تغییر بدن :)
سه شنبه 16 آبان 1385, 12:55 عصر
مرتضی دولتخواه

با سلام
به نظر من در این مورد شما، شما اگر از Encode کردن داده ها استفاده کنید خیلی بهینه تر ای Hash کردن انهاست چون شما همون طور که دادهاتون رو Encode می کنید می تونید اونها رو هم برای صحت اعتبار مجددا Decode کنید (منظورم روشی قابل برگشت به داده اصلی که اون روش رو هم فقط شمای برنامه نویس می دونه) .
والبته در بدترین حالت هم اگه روش شما برای Encode کردن لو بره خود اینکه دیگه قصه نداره با یک روشه دیگه.
پس هیشه راهی هست. اون هم با این همه دوستانی که تو این فروم واقعا لطفشون رو از کسی دریغ نمی کنن.
سه شنبه 16 آبان 1385, 13:00 عصر
مرتضی دولتخواه

البته این رو هم اضافه کنم که فکرت رو مشغول اینکه پردازش می گیره و اوردر زمانیش مناسب نیست و ... نباشت، چون بحث امنیت در میانه حالا اگه یکم هم از منبع سیستم همچین درست و حسابی کار کشیدی (البته تمام اینها در کسری از ثانیه ست) اشکالی نداره .
پنج شنبه 16 آذر 1385, 23:05 عصر
mohdhassan

با عرض سلام محمد
لطفا میتونی یه برنامه کوچک حسابداری رو برام طراحی کنی
با کمال تشکر
شنبه 18 آذر 1385, 16:14 عصر
Mohammad_Mnt

شرمنده! اصلا" فرصت ندارم :(
شنبه 18 آذر 1385, 16:39 عصر
titbasoft

نقل قول:

میتونی hash بدست اومده را یکبار هم با نام کاربری کد کنی ... اینطوری هر hash فقط با یک کد کاربری سازگاره

مشکل این روش چیه؟
یک شنبه 19 آذر 1385, 10:59 صبح
Mohammad_Mnt

مشکلی نداشت. گفتم شاید روش قوی تری هم وجود داشته باشد!
دوشنبه 23 آبان 1390, 20:22 عصر
alireza safian

نقل قول: محل ذخیره Password

من می خواستم ببینم چه شکلی میشه فیلد پسورد در sql و توسط خود sql به صورت رمز شده و یا هش شده کرد

نقل قول: محل ذخیره Password

توسط خود SQL رو اطلاعی ندارم . ولی توسط خود #C میشه با این تابع Hash رو بدست آورد .



 public static string GetMD5Hash(string input)

          {

              System.Security.Cryptography.MD5CryptoServiceProvider x = new System.Security.Cryptography.MD5CryptoServiceProvider();

              byte[] bs = System.Text.Encoding.UTF8.GetBytes(input);

              bs = x.ComputeHash(bs);

              System.Text.StringBuilder s = new System.Text.StringBuilder();

              foreach (byte b in bs)

              {

                  s.Append(b.ToString("x2").ToLower());

              }

              string password = s.ToString();

              return password;

          }

واحد زمان برحسب ساعت لندن +4. ساعت هم اکنون 14:11 عصر است.