Les moyens de mettre un mot de passe dans le code

Question

J'ai un peu de code qui doit fonctionner avec des privilèges élevés (plus que je veux que le reste de mon code fonctionne).

J'ai mon code qui configure l'Usurpation d'identité, mais il nécessite un nom d'utilisateur, un domaine et un mot de passe. Comme mon code est en C# .net, je sais que le mot de passe peut être trouvé par quelqu'un de suffisamment déterminé.

Existe-t-il un moyen de chiffrer le mot de passe dans mon code? Ou sinon sécuriser ce mot de passe et être toujours en mesure de le transmettre?

Voici le code que je vous appelle:

using (new Impersonator("UserNameGoesHere", "DomainNameGoesGere", "Password Goes Here")) 
{ 
    uint output; 
    NetUserAdd(AUTHENTICATION_SERVER, 1, ref userinfo, out output); 
    return output; 
} 

J'aimerais un exemple qui montre comment résoudre ce problème pour ne pas montrer mon mot de passe en texte clair.

J'utilise Visual Studio 2008, .NET 3.5 SP1, et fonctionnant sous Windows Server 2003.

Answer 1

Vous n'avez pas spécifié si cela était une application de bureau ou sur le Web si ...

ASP.NET 2.0 supports encrypting sections of the web.config.

Answer 2

Pouvez-vous utiliser les CryptoAPIs? Voir la réponse acceptée:

How to store passwords in Winforms application?

Answer 3

Vaccano,

Je recommande enquêter sur l'API de protection des données (DPAPI) pour ce que vous essayez d'atteindre. Il est considéré comme faisant partie de la solution dans de nombreuses approches de meilleures pratiques pour stocker de manière réversible les mots de passe nécessaires aux applications.

Un bon article discuter de la DPAPI (et d'autres techniques + préoccupations) se trouve ici:

http://msdn.microsoft.com/en-us/magazine/cc164054.aspx

Avec C# 2.0, est même pas nécessaire P/Invoquer; wrappers gérés existent:

http://blogs.freshlogicstudios.com/Posts/View.aspx?Id=41ca5a99-ddc0-4d0a-9919-2ce10bf50c7e

J'espère que cela aide!

Answer 4

Vous avez plusieurs options ici.

1. Vous pouvez hacher le mot de passe la première fois et stocker le hachage dans un fichier. Maintenant, la prochaine fois, vous voulez exécuter le code avec des privilèges élevés, vous devez accepter/retaper le mot de passe et recalculer le hachage et le faire correspondre avec le hachage stocké. Seulement si cela correspond, vous exécuterez votre code en mode d'élévation. Vous pouvez hash en utilisant SHA. S'il vous plaît regarder l'espace de noms System.Crytography pour des exemples sur le hachage.

2. La deuxième option consiste à chiffrer le mot de passe en utilisant des algorithmes tels que AES. Cependant, vous devrez avoir une clé pour le faire et vous devrez vous inquiéter de la sécurisation de cette clé.

3. La troisième option consiste à utiliser DPAPI et à crypter le mot de passe, mais ne vous inquiétez pas de la sécurisation des clés - option beaucoup plus facile que 2.

Je recommanderais 1 si cela ne vous dérange pas de ressaisir le mot de passe chaque fois que l'application démarre. Si ce n'est pas une possibilité, je suggère d'aller avec 3 et utiliser DPAPI.

Voici quelques liens pour vous aider à démarrer.

1. http://www.obviex.com/samples/dpapi.aspx 2. http://www.obviex.com/samples/Encryption.aspx

Answer 5

Vous pouvez utiliser safe-config package NuGet. En interne, il utilise api de protection des données pour crypter et décrypter les données.

//Save some configuration data at folder data\temp\ 
var configManager = new ConfigManager() 
    .WithOptions(DataProtectionScope.CurrentUser) 
    .Set("password", "my-massword") 
    .AtFolder(@"data\temp\") 
    .Save(); 

    ... 

//Load configuration data 
var loadedValue = new ConfigManager() 
    .AtFolder(@"data\temp\") 
    .Load() 
    .Get<string>("password");