Das deutsche Python-Forum

Hallo Leute,

gibt es eine Möglichkeit das Passwort sicher zu speichern (verschlüsselt)
und dass das Programm selber das Passwort entschlüsselt.

z.B. (Python) odhbff34gb5 - Python so was in der Art

Jein. Egal was du machst, du wirst immer ein Passwort eingeben muessen, so wie zB Firefox das auch macht.

Alternativ kannst du einen Keyring deines Betriebssystems verwenden, wenn es sowas hat & es ein Python-Modul dafuer gibt.

geht das mit unicode (encode u. edcode)

(Es gibt aber programme da ma das passwort speichern kann (die schreiben dies in so eine komische datei)

unicode hat mit deinem Problem nix zu tun.

Und was irgendwelche Programme in irgendwelche komischen Dateien schreiben weiss ich nicht. Ich kann ja nicht hellsehen.

Bei Thunderbird kann man das Passwort auch speichern und kommt ohne Passwort rein!

@jtschoch: In diesem Fall wird das Passwort allerdings nicht verschlüsselt, sondern im Klartext gespeichert, oder allenfalls mit einer umkehrbaren Funktion unkenntlich gemacht.

Man kann ein Passwort nicht automatisiert sicher speichern, das Henne-Ei-Problem ist doch so offensichtlich, dass Du mit Nachdenken selbst darauf kommen musst: Um das Passwort zu verschlüsseln

• benötigt man ein Passwort,
• welches man wieder verschlüsseln muss,
• wozu man wieder ein Passwort benötigt,
• welches man wieder verschlüsseln muss,
• wozu man wieder einen Passwort benötigt,
• welches …
• usw.

Die einzige Möglichkeit, dass Passwort zu speichern, ohne dass es dazu ein neues Passwort braucht, ist … es nicht zu verschlüsseln. Wenn man es verschlüsseln möchte, muss man dagegen zwingend an irgendeinem Punkt den Nutzer nach einen Passwort fragen.

Naja, anstatt zu verschlüsseln könnte man doch einfach den Hash abspeichern. Das Entschlüsseln klappt über den Hash natürlich nicht. Man könnte aber einen Algorithmus bauen, der nur mit dem richtigen Hash (der nach Eingabe eines zweiten Passworts erzeugt wird) das ursprüngliche Passwort wieder entschlüsseln kann. So gesehen besteht das Henne-Ei-Problem doch eigentlich nur, wenn man auch dieses zweite Passwort zwingend abspeichern möchte. Ich mein, dieses Vorgehen dürfte ja auch die gängige Praxis sein.

@snafu

Na, dein zweites Passwort ist doch wieder die Henne. Oder das Ei. Denn was du da beschreibst ist nix anderes als symetrische Verschluesselung, und wenn die sicher sein soll, darf der Schluessel nicht gespeichert sein.. "Guten Tag Herr Ei" sagte die Henne.

Wer sagt denn, dass der OP den "Master-Schlüssel" ebenfalls speichern will? Ich habe nur rausgelesen, dass das Passwort für ein bestimmtes Programm verschlüsselt gespeichert und später wieder ausgelesen werden soll. Es *kann* sein, dass eine Lösung gänzlich ohne Passwort-Eingabe gewünscht ist. Das wäre dann die besagte Henne-Ei-Situation. Davon ausgehen, dass es so gewollt ist, würde ich ohne Rückfrage aber nicht.

@snafu: Der OP will Passwörter speichern ohne selbst ein Passwort eingeben zu müssen. Das geht IMHO klar aus seinen Beiträgen hervor. Als Beispiel führt er Thunderbird an, das Passwörter speichert und die verwendet ohne dass der Benutzer noch mal ein Passwort eingeben müsste. Er denkt anscheinend Thunderbird würde diese Passwörter *sicher* speichern.

Wäre es nicht möglich, verteilt über verschiedenste Stellen im Code ein Masterpasswort zu 'installieren', mit dem dann die Nutzerpasswörter verschlüsselt werden.
Natürlich könnte man das nicht mit Python machen, aber ich denke dass z. B. Programme wie Outlook in einer Weise compiliert sind, die sich nicht zurück- oder auslesen lässt. Sonst gäbe es sicherlich bereits Quellcode(teile) davon...

Also wenn das jetzt DIE total geniale weltverändernde Idee ist, dann bitte ich einen der Moderatoren hier, sofort diesen Beitrag zu löschen und mir eine PN zu schicken...

mutetella

mutetella hat geschrieben:Wäre es nicht möglich, verteilt über verschiedenste Stellen im Code ein Masterpasswort zu 'installieren', mit dem dann die Nutzerpasswörter verschlüsselt werden.
Natürlich könnte man das nicht mit Python machen, aber ich denke dass z. B. Programme wie Outlook in einer Weise compiliert sind, die sich nicht zurück- oder auslesen lässt. Sonst gäbe es sicherlich bereits Quellcode(teile) davon...

Also wenn das jetzt DIE total geniale weltverändernde Idee ist, dann bitte ich einen der Moderatoren hier, sofort diesen Beitrag zu löschen und mir eine PN zu schicken...

Warte mal kurz - das waere ja die Loesung fuer alle Probleme die man so hat dieser Tage mit den Segnungen der digitalen Welt. Nie wieder Raubkopien, nie wieder unlizensierte Medienwiedergabe, keine ausnutzbaren Schwachstellen in Software mehr... genial. Eine solche Technik zuverlaessig zu implementieren (egal wie) waere ein Milliardenmarkt!

Warum nur hat das noch keiner umgesetzt? Ah, genau - weil jedes Stueck Software, egal wie kompliziert verschwurbelt programmiert, compiliert, obfuscated oder sonstewas sich *immer* auseinandernehmen laesst. Und knacken.

Also, noch nicht die Haende reiben ueber den Gewinn deiner genialen Idee...

@mutetella: Deine Idee ist nicht zu Ende gedacht: Selbst wenn es möglich wäre, das Master-Passwort in einem Programm zu verstecken, so könnte eine andere Person sich immer noch einer identischen Kopie dieses Programms bedienen, um die Passwörter anderer Nutzer auszulesen.

Dass es unabhängig davon unmöglich ist, Informationen so zu verstecken, hat deets bereits erläutert. Ergänzend dazu noch folgendes:

Es ist zwar nicht möglich, aus Binärkompilaten den Quelltext in seiner ursprünglichen Form zu rekonstruieren. Man braucht den Quelltext aber gar nicht, um Informationen über die Abläufe in einer Binärdatei, im konkreten Fall also die Art der Passwort-„Verschlüsselung“, zu rekonstruieren. Man kann diese Abläufe mithilfe eines Debuggers auch direkt analysieren, und somit den Algorithmus zur „Verschlüsselung“ rekonstruieren. Einer solchen Analyse hat noch kein Kopierschutzalgorithmus stand gehalten, obwohl die Spiele- und Content-Industrie viel Geld in solche Mechanismen investieren, um ihr geistiges Eigentum zu schützen.

Hallo jtschoch,

jtschoch hat geschrieben: gibt es eine Möglichkeit das Passwort sicher zu speichern (verschlüsselt)
und dass das Programm selber das Passwort entschlüsselt.

auf das Henne/Ei-Problem wurde nun ja schon reichlich hingewiesen. Ich weiß auch nicht, was Du genau vor hast, aber vielleicht könnte man das Passwort auch auslagern. Wie wäre es z.B. mit einem USB-Stick der nur bei Bedarf eingesteckt wird und auf dem das Passwort/Passphrase/Hashcode gespeichert ist? Das muß nicht mal offensichtlich sein, sondern könnte auch "getarnt" ablaufen: "Nimm das achte mp3, gehe zum Offset xyz und verwende die folgenden 1024 Zeichen als Passphrase

LivingOn hat geschrieben:Das muß nicht mal offensichtlich sein, sondern könnte auch "getarnt" ablaufen: "Nimm das achte mp3, gehe zum Offset xyz und verwende die folgenden 1024 Zeichen als Passphrase

Hui, das ist ja richtig getarnt - den Programmcode kann ja schließlich niemand lesen...

@Hyperion: LivingOn meinte wohl eher, dass eine anwesende dritte Person so nicht bemerkt, dass überhaupt ein Passwort eingegeben wird, also dass der Vorgang der „Passworteingabe“ getarnt ist, nicht die Implementierung derselben.

lunar hat geschrieben:@Hyperion: LivingOn meinte wohl eher, dass eine anwesende dritte Person so nicht bemerkt, dass überhaupt ein Passwort eingegeben wird, also dass der Vorgang der „Passworteingabe“ getarnt ist, nicht die Implementierung derselben.

Ah, ok.

Hyperion hat geschrieben:

LivingOn hat geschrieben:Das muß nicht mal offensichtlich sein, sondern könnte auch "getarnt" ablaufen: "Nimm das achte mp3, gehe zum Offset xyz und verwende die folgenden 1024 Zeichen als Passphrase

Hui, das ist ja richtig getarnt - den Programmcode kann ja schließlich niemand lesen...

Den Programmcode kann und sollte auch jeder lesen können, nur hat nicht jeder den USB-Stick ;-P
Sollte man diesen allerdings mal verlieren, so sind da nur mp3s drauf.

Wie geht das jetzt genau?

@LivingOn:
Gibt es Anwendungen, die eine Passwortabfrage nach diesem Prinzip einsetzen? Also ich meine Anwendungen jenseits von KGB und CIA...