Как зашифровать логин и пароль в проекте exe (windows form)?

Question

[Denis Izmailov]

В проекте есть логин и пароль для подключения к стороннему api. Он должен быть вшит в проект, логин и пароль меняться не будут. Видеть логин и пароль никто не должен.

Как можно зашифровать логин и пароль в проекте и желательно без ключа? Что бы вставить в проект сразу зашифрованную строку и выполнять только decode при подключение.

Знаю что так делать нельзя и толку шифровать все равно будет не так много и что лучше свой api сервис развернуть для этого, но задача такая.

Comments

[Voland69]

Задача странная - зашифрованная захардкоженная строка ничем особенным не отличается от логина и пароля (подсмотрели строку и ее используете для доступа к API) это если дешифровать сервером.
Если клиентом то значит ключ так или иначе должен быть на клиенте.
Может быть лучше зашить в сервер и клиент TLS (чтобы не только сервер предъявлял клиенту сертификат но и клиент серверу)?

[Василий Банников]

А почему логин и пароль должны быть в проекте?

[Denis Izmailov]

Василий Банников, А где еще хранить их? Если надо в любое время скинуть exe на любой комп, а своего api пока что нет

[Adamos]

Denis Izmailov, самый очевидный вариант - хранить тот аккаунт, который вы все равно раздаете с программой, на том самом сервере, к которому он будет обращаться по API. Так вы и устраните необходимость хранить что-то в программе, и сохраните контроль над тем, кто этот доступ получит.

[Сергей delphinpro]

Всё фигня. Можно просто подсмотреть трафик (отправляемые запросы) и дернуть оттуда либо вашу зашифрованную строку, отправляемую на сервер, и самому ее отправлять, либо расшифрованные логин и пароль, если программа будет сама расшифровывать.

[Михаил Ливач]

ну раз знаете, что лучше свой api сервис развернуть, то что Вас останавливает? Тем более, задача у этого сервиса будет простая: проксировать запросы на реальный сервис, дополняя их логином и паролем.

Answer 1

[Владимир Шаблий]

Самый простой "нечитаемый" вариант - в base64.
Для "усложнения" декодирования "честными усерами" - дополнительно сделать реверс закодированной строки.

Comments

[Denis Izmailov]

base64 decode online и прощай данные

[Владимир Шаблий]

Denis Izmailov, какой вопрос, такой ответ:

Знаю что так делать нельзя и толку шифровать все равно будет не так много

Вы хотите предложить что-то "без соли"? Было бы интересно посмотреть...

[shai_hulud]

Base64 + XOR на 42 отпугнёт слабых духом.
Сильных духом не отпугнуть ничем.

Answer 2

[Петр]

"Как можно зашифровать логин и пароль в проекте и желательно без ключа?"
В вашем случае нет разницы с ключом или без, так как если кто-то в код залезет, то пароль к апи уже получит.
А так можете AES зашифровать и программе расшифровывать.

Comments

[Denis Izmailov]

На сколько я знаю для decode нужен ключ, а ключ придется тогда хранить в проекте. И это сразу становится не актуально. Смысл тогда будет вообще шифровать если ключ лежит перед носом.

Answer 3

[freeExec]

Я бы выбрал XOR в случае скрытия от глаз, никаких криптографических апишек в проекте - это плюс

Answer 4

[rPman]

Ключевое слово для дальнейшего поиска решения - обфускация.

Бессмысленно что то делать с паролем, если декодировав исходники можно будет понять как он расшифровывается или просто посмотреть в отладчике место в коде где он используется. Если пароль отсылается в запросе по сети, то иногда достаточно этот запрос подсмотреть, а https шифрование обойти подменой сертификата.

Советы:
- не использовать внешние подключаемые библиотеки для шифрования и отправки запроса, так как их тупо можно подменить на свои
- нетипичный алгоритм шифрования строк хранения пароля комиссии стоимость взлома
- активно запутывай код, есть коммерческие системы обфускации, или каскадная виртуализация (когда твоя программа это что то типа интерпретатора, или виртуальной машины, исполняющей итоговый код, чем менее стандартный он будет тем дороже взлом)

P.s. подумай, такая борьба с ветреными мельницами может оказаться сложнее чем запилить сервис посредника

Comments

[freeExec]

А что же помешает злоумышленнику пользоваться его сервисом-прокси? Теперь это будет не apikey от какого-то сервиса, а новый виток уже в защите этой программы :)

[rPman]

контроль за использованием будет уже на владельце прокси-сервера, можно свои правила назначать, например ip адрес, лимит на количество запросов и все что угодно (хоть капчу разгадывать) и главное не будет доступа к исходному сервису, например если там один аккаунт на нескольких клиентов разделяется

Answer 5

[Максим К]

Зашифровать строку с логином, назвать элементы с зашифрованной строкой, далее при использовании просто брать имя элемента и расшифровывать. Хоть берите 3 символа изображения + ещё что-то и потом расшифровывайте, алгоритм будет только вам понятен, а всём остальным поковыряться

Answer 6

[SayMo0n]

Стороннее api веб? Если да тогда никакое шифрование не поможет, при запросе любым снифером будет отлавливаться пароль