KeyStore– Dein Passwort Tresor

OK, ich mach mich in ein paar Minuten mal dran :).

Ich hab zwar sowas noch nie gemacht, aber ich konnts mir grad nicht nehmen lassen das zu hacken. Wobei "hacken" übertrieben wär.

1.) Man nehme ILSpy. Decompilieren nach C#
2.) Decompilier-Fehler ausbügeln, damits wieder kompiliert.
3.) in Datei:Login.cs, Methode:private void Button1_Click(object sender, EventArgs e)
Zeile if (Operators.CompareString(userMd5, MySettingsProperty.Settings.Username, false) == 0 & Operators.CompareString(pwdMd5, MySettingsProperty.Settings.Kennwort, false) == 0) ändern in
if (true)
4.) projekt neu erstellen und die exe in den KeyStore Ordner verschieben.
5.) die neue .exe einmal Ausführen und profil erzeugen damit ne neue user.config erzeugt wird. Die user.config vom AppData-Verzeichnis der originalen .exe in das AppData-Verzeichnis der gecrackten .exe verschieben.
6.) Mit beliebigem passwort/benutzernamen anmelden. Fertig.

Das geht in unter 5 Minuten.

Man kann auch einfach die Entschlüsselungsroutine rauskopieren, dazu muss man halt die Settings einlesen. Allerdings war mir das grad zu blöd, ich geh lieber den Weg des geringsten Widerstandes.

Die Projektmappe von dem C#-Projekt kann ich auch ranhängen, wenn du nichts dagegen hast.

Ok, ich werd mir dass dann ansehen, wenn du des releast. Vorher hab ich angefanden, an deinem alten System rumzuschrauben, das funktioniert auch soweit aber leider wirft es mir immer einen Error obwohl ich den betroffenen Code sogar 1:1 bei dir rauskopiert hab . Naja, vielleicht finde ich ja noch raus, wo der Fehler liegt .

Darf ich mal fragen, warum deine Programme immer so sind?
Ich hab echt nichts gegen Dich, aber das wird mir und bestimmt vielen anderen jetzt langsam zu viel.

Zum 1001en Mal: Die Rechtschreibung ist grauenhaft, überall Deppenleerzeichen, falsch geschriebenes Zeugs, fehlende Kommata usw.
Deine Software ist immer fehlerhaft oder schlecht gebaut, immer. Sei es nun sicherheitstechnisch oder funktionstechnisch.
Bitte, befasse Dich ausschließlich erstmal mit Kryptographie, ihrer Anwendung, wo sie Sinn macht, wie man sie richtig implementiert etc. pp

Dann gibt es eine wunderschöne Property in der Form-Klasse, die Microsoft mitgeliefert hat, jetzt kommt's: "Icon"
Das kann man ändern und schon steigt die Seriosität. Cool, nicht wahr? Zudem hat Microsoft uns Programmierern noch die Möglichkeit gelassen, festzulegen, welche Buttons wir im Aero-Bereich haben wollen. Das vermeidet nervige Maximierungen, bei denen dann Controls nicht mitziehen. Dazu gibt es dann auch den FormBorderStyle.

Wenn wir beim Thema Guidelines sind, Header haben eine bläuliche ForeColor. Zudem dann überall Microsoft Sans Serif vermeiden und Seoge UI nehmen. Die riesen Icons beim ToolStrip kannste kleiner machen, das nervt extrem.

Auch wenn Du Rechtschreibprobleme hast, dann bitte, mach eine Rechtschreibprüfung mit deinen Texten. Außer natürlich, Du hast Dich hier in Absicht das abzuziehen angemeldet: acer-userforum.de/smalltalk-un…ator-rezeptvorschlag.html

Langsam glaube ich das sogar, ehrlich gesagt.
Dann sieht man, dass die Mühe gar nicht drinne ist. Du hast nen Button, namens 'Button2' drin, was auf die gesamte Architektur schließen lässt -> Für'n Arsch.

Wahrscheinlich 0 OOP, alles schön irgendwo reingehauen und gut ist's. So geht man aber keine Projekte an. Ein richtiger Entwickler (mit 'ck') geht ein Projekt sauber durchdacht und langwierig an, sogar nur ein einzelnes, nicht 20.

Wenn Du weißt, dass Du nicht mehr hinterherkommst, dann lass es sein.
Mach am alten so lange weiter, bis es so ist.
Da Du all dies jetzt wieder ignorierst, um wahrscheinlich die Kriterien des oben genannten Links zu erfüllen, hör ich hier mal auf, denn alles weitergehende wäre sinnlos.
Fakt ist, und das muss jetzt mal gesagt werden: Du bist kein Softwareentwickler.
Denn ein Entwickler geht solche Sachen, wie gesagt, anders an.

Grade bei Kryptozeugs wären Unittests auch sinnvoll, aber davon reden wir mal nicht, denn das ist ja sowieso uninteressant.
In 1 Woche ist das hier flachgelegt und Du fragst wieder nach ner Projektidee.

Ich hoffe für Dich, dass das anders wird (glaube ich nicht), denn sonst kannste alles an den Nagel hängen.

Grüße

Sorry, dass ich das so hart sagen muss, aber jemand der nen Passwortsafe proggt, bei dem man ohne Kenntnis des "Masterpassworts" an die Passwörter kommt, dem traue ich es nicht zu irgendwas in Bezug auf Sicherheit zu programmieren.

(Was nicht heißt, dass ich mir das zutraue. )

Ich hab den Showroom eigentlich immer als Gedankenstütze bzw. Ideensammler benutzt. Sprich ich hab mir die Kritiken vieler Programme durchgelesen und daraus gelernt.

Bei @Andy16823 muss ich allerdings sagen das er in keinster weise Kritik annimmt und somit meiner Meinung den Sinn des Bereiches verfehlt. Es kann ja eigentlich jedem egal sein ob & wie viele Projekte man hat, aber das was er veröffentlicht, halte ich für reine Provokation & Größenwahn..

Es es wurde schon ein "Showroom-Verbot" angesprochen. Sollte es langsam echt geben, da es denke schon als Spam gilt.
Grüße

Wo hängt eigendlich euer Problemm ?​

Schau Dir den Satz an, dann haben wir schon einmal eins davon. Das größte Problem ist, dass Du den Text nicht als Kritik (ja, ich weiß, es ist ziemlich hart), sondern als Beleidigung nimmst. Das soll es nicht sein, aber sonst hörst Du ja nicht auf uns, eventuell wird es dann ja was.

Was ist bei dir bitte ein Masterpasswort? Die verschlüsselst die Einträge einfach mit dem Userpasswort und davon machst du ein SHA512 Hash (mit dem wird aber nicht verschlüsselt!) vom PW für deinen Login. (mit MD5 brauchst heute nicht mehr kommen, das gilt nicht mehr als sicher), am besten noch irgendwie salted. Aber du hinterlegst sicher kein Passwort in deinem Code, weil das ja gar nichts bringt :).

Was macht dein Tool interessanter als KeePass?

nen nackten Hash als Key-Derivation Algo zu nutzen ist auch nicht umbedingt optimal.

PBKDF2 wäre eine Idee. Hierzu gibts auch ne Klasse im .net Framework.

...nennt sich übrigens Rfc2898DeriveBytes oder so ähnlich.

Spontan hätte ich auf RFC2898DeriveBytes getippt, weil die betreffende RFC so heißt..

Jo, war n kleiner Schreibfehler. Ist mir auch aufgefallen, nachdem ich den Post abgesendet hatte.

TTX.exe schrieb:

Aber du hinterlegst sicher kein Passwort in deinem Code, weil das ja gar nichts bringt :).

Nein, dass würde Andy16823 nie machen. Andy16823 speicherte einfach das Masterpasswort in den My.Settings (also im Klartext auf der Festplatte) ab. Aber gutgläubige Nutzer wie TTX.exe glauben natürlich die Aussage "Die Passwörter werden nicht im Klartext hinterlegt. Somit kann ein anderer Benutzer nichts mit Ihren Kennwörtern Anfangen.".

@Andy16823
Zum zweiten Mal: Ich habe es verstanden. Ändert aber nichts dran, dass das du einmal richtig dicke Scheiße gebaut hast und jetzt das baust was andere sagen, anstatt dich mal selber in die Materie einzulesen. Wer sagt dir denn, dass das nicht auch irgend ne Schwachstelle hat.
Wenn wir nix gesagt hätten, hättest du es btw wohl selber nie gemerkt...

@Andy16823
Das Master-Passwort wird also als Hash gespeichert? Wie kommst du denn dann daran dran? An dem Entschlüsselungsprogramm vorher bin ich nur insofern gescheitert, als dass _dein_ Code Fehler verursacht hat, wenn ich versucht habe, ihn aufzurufen.
Ich erläuterte aber hier mal eine funktionierende Vorgehensweise:
1. Den Speicherort der My.Settings- und Passwörter-Datei ausfindig machen.
2. Bei der My.Settings-Datei die Base64-kodierten Strings, welche in den Properties IV und ... (ist mir gerade entfallen, auf jeden Fall die letzte) gespeichert sind wieder in deren Byte-Arrays zurück umwandeln.
3. Die verschlüsselten Werte in der Passwörter-Datei mithilfe der in Andys Programm vorhandenen Routine entschlüsseln
4. Fertig.
So einfach ist das.

@All
Ich muss aber auch noch was allgemeines zu dem Programm sagen:
Ich glaube, dass Andy sich immer mehr Mühe gibt, dass seine Programme besser werden, zumindest hatte ich das Gefühl beim Durchschauen des Codes. Wie man sieht, übernimmt er sich etwas, aber das passiert doch (fast) jedem hier hin und wieder mal, oder?

@Andy16823 (nochmal)
Wie wärs, wenn du einfach die Projektmappe von solchen Projekten ein paar freiwilligen erfahrenen Testern rüberschickst und die dir dann Rückmeldung geben? Das ist doch sicher besser, als hier im Forum von gewissen Personen runter gemacht zu werden (ob du es verdient hast oder nicht, lass ich hier einfach mal offen). Dann hättest du immerhin die Möglichkeit, auf einfache Art und Weise etwas zu lernen.

MfG Stefan

PS: Entschuldigt bitte eventuelle Rechtschreibfehler, ich bin grad nur am Handy.

@Trade
Genialer Beitrag im Acer-Forum.

Aber mal ehrlich: Soll ich einen User sperren, weil er gerne schlechte Programme schreibt (und uns auf die Nase bindet)? Solange Threads / Beiträge regelkonform sind, kann jeder nach Herzenslust posten. Gegen Lernresistenz haben wir keine Regel - warum auch? Es gibt schließlich eine Ignorierliste. Macht doch bitte davon Gebrauch...