Jos*_*osh 5 c windows security
我将接收用户名和密码并将其存储在结构中。
我该如何防止某人查看我的进程的内存并查看用户的用户名/密码?
我的第一个想法是对内存中的用户名和密码进行加密,并在完成后将其归零。但随后我必须将密钥存储在内存中的某个位置,以便可以检索。
好吧,这将使恢复凭证变得非常困难,但这仍然是可能的。
还有比这更安全的方法吗?
sha*_*tor 3
查看数据保护 API。Windows 组件以及第三方软件正是使用它来处理这种情况,并且基本上为您处理加密和密钥管理。
密钥与当前用户的密码相关联,但您可以提供“可选熵”,这实际上是额外密钥材料的每次操作来源,例如可以从用户输入的密码派生以保护服务凭证。
至于“有没有比这更安全的方法”,我认为您需要准确定义您要防范的威胁级别。对于同一台计算机上的其他(非管理员)用户,DPAPI 可能非常好,还有您已经提到的安全清零明文等内容。对于在同一登录会话中运行的恶意软件,几乎没有什么帮助。
归档时间:
12 年,5 月 前
查看次数:
571 次
最近记录: