Das deutsche QBasic- und FreeBASIC-Forum

[sYnt4x]

Servus,
bevor jetzt 20 leute posten ich soll die sufu benutzen, schonmal vorweg:
Habs versucht und kam nix bei raus

Also ich hol mal etwas weiter aus. ich bin noch relativ frisch was freebasic angeht und im grunde genommen überhaupt was programmieren angeht. ich versuche mir alles mögliche über guides und foren beizubringen und nun versuche ich ein kleines programm (zu übungszwecken) zusammen zu hacken.
ich hab vor ein paar daten von mir (passwörter) in einem kleinen programm zu sichern und es mir dann ausgeben lassen sobalt ich das quasi masterpasswort eingebe.

ich hatte eine ähnliche übung in einem guide gefunden allerdings war es zu einfach gestrickt:

[sYnt4x]

mir fällt gerade auf das ich nicht wirklich eine klaare frage gestellt habe sry.
also ich würde dieses programm gerne sicherer gestalten und vllt etwas ausschmücken.
weil so ja jeder "clown" meine pw´s lesen^^
_________________
..die endlosen weiten des blauen nichts....

[Jojo]

Ein Hash ist eine Einwegfunktion. Aus einem gehashten Passwort kannst du (im Prinzip) nicht wieder das Originalpasswort extrahieren, dazu bräuchtest du eine Zwei-Wege-Verschlüsselung wie z.B. das RSA-Verfahren oder AES. Wenn du dir einen Passwort-Container bauen willst, würde ich dir aber eher dazu raten, ein Programm wie KeePass zu verwenden, denn das tut seinen Dienst bereits sehr gut und ist sicher auch wesentlich komfortabler als irgendwas selbst zusammengehacktes.
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.

[sYnt4x]

Ja es wäre auf jedenfall komfortabler und höchstwarscheinlich auch sicherer aber dabei lerne ich nix

aber vielen dank für die schnelle antwort!

und versteh ich das richtig das diese hash funktion gar kein standart befehl von fb ist sondern ein externes programm?
_________________
..die endlosen weiten des blauen nichts....

[MOD]

FreeBASIC hat da nichts eingebautes, allerdings habe ich vor einiger Zeit einige Hashalgorithmen umgesetzt und zur freien Verfügung gestellt: Hash Funktionen

[Jojo]

[Flo]

jojo, es sagt ja auch keiner, dass er das programm wirklich _benutzen_ will.


und zur frage:

das mit der hashfunktion ist schön und gut, AAAABER:
wenn du dort stehen hast "if hash(eingabe) = hash_des_korrekten_passworts then print "supergeheime daten", bringt dir das recht wenig.

mit geringem aufwand könnte man nämlich "supergeheime daten" aus der entstehenden EXE (oder linux-elf) extrahieren. was man allerdings nicht (idealerweise garnicht) extrahieren kann, ist das korrekte passwort. hilft dir aber nicht viel, wenn man auch ohne passwort an die daten kommt


wenn du nur kleine texte verbergen willst, verschlüssele sie am besten.

dazu gibts verschiedene algorithmen, z.B. AES (sicher), xor (unsicher *), caesar-chiffre (extrem unsicher **, aber am leichtesten zum üben), und "erweiterte caesar-chiffre" (unsicher *)

*: diese sind nicht resistent gegen statistische analyse (wikipedia sagt dir, was das ist; hat mit der häufigkeit der buchstaben zu tun. e kommt häufiger als y vor). wirklich sicher ist das nur dann, wenn das passwort genauso lang oder länger als die zu verschlüsselnden daten sind. wenn die daten aber nur "ein wenig" länger sind (also 4 oder 5 mal so lang), ists auch nicht soooo tragisch. aber um so länger die daten, desto größer die unsicherheit
**: wie *, nur dass man exakt ein zeichen damit sicher verschlüsseln kann.
_________________
MFG
Flo

Satoru Iwata: Wer Spaß am Spielen hat, fragt nicht nach Grafik.

zum korrekten Verstaendnis meiner Beitraege ist die regelmaessige Wartung des Ironiedetektors unerlaesslich.

[sYnt4x]

@ Jojo:
ich bin da etwas anderer ansicht, ich teste alles was mir "vor die flinte kommt" selbst nachzubasteln. so habe ich etwas wo ich "kontrollieren" kann was ich fabriziert hab und/oder wie ich es besser machen kann.

ich bin noch nicht in der lage großartig was zu programmieren und um was sinnvolles zu schreiben was es noch nicht gibt fehlt es mir einfach an wissen und erfahrung.

das problem ist das ich nicht wie früher mal in der schule nen lehrer hatte der mir was an die tafel klatscht und man die sachen nachfragen kann die ich nicht verstehe. und die guides aus dem netz sind zwar hilfreich aber bieten meiner meinung nach nicht das ganze drumherum. zum teil steht in den guides: Der befehl tut das! und warum? guide: Darum, weils so is!
_________________
..die endlosen weiten des blauen nichts....

[dreael]

Zwei sehr bekannte Standardalgorithmen, wenn auch mittlerweilen als nicht mehr sicher einzustufen:
- MD5 nach RFC 1321
- SHA1 nach RFC 3174

Mit diesen Links hast Du eigentlich alles, um in QB eine passende FUNCTION-Prodezur schreiben zu können (übrigens ein Fall für die Projektvorstellungen!), welche Du in Deinem Programm in der Art

[ThePuppetMaster]

@Flo .. nur mal so am rande ... "XOR" bzw. Vernam-Crypt ist eines der sichersten verfahren die existieren. Das Problem ist in diesem fall nicht der Algo, welcher angreifbar ist, sondern die einfliesenden Daten, bzw. der Schlüssel für diesem. Wenn er einen guten schlüssel wählt, ist dieses Verfahren sowohl sicher in der Einweg Variante (LostCrypting) als auch in der Zweiwege Variante (StoreCrypting).

Das generieren von Hashes um den Schlüssel "auf zu bählen" ist hier durchaus möglich, und teilweise nichtmal unsinnig. Dies erhöhrt die Schlüssellänge, was die Stochastische Angriffsmethode deutlich erschwert. Allerdings bleibt hier ebenfalls noch die BruteForce-Methode, wie auch bei jedem anderen Verfahren übrig.


MfG
TPM
_________________
[ WebFBC ][ OPS ][ ToOFlo ][ Wiemann.TV ]