# Programm mit Passwort schützen.



## The_S (9. Aug 2007)

Hi,

ich habe ein Programm, das mehr oder weniger kritische Daten speichert. Die Daten werden erst mit dem Programm generiert (sind vorher also nicht vorhanden) und werden auch nur lokal verwendet. Meine Frage ist jetzt, wie ich diese Daten am Besten sichere. Folgende Vorgehensweiße habe ich mir überlegt:

Das Programm mit einem Passwort schützen. Das Passwort dient gleichzeitig als Schlüssel (ver- und entschlüsselung der Daten). Gibt der User das richtige Passwort ein, so sieht er auch die richtigen Daten. Wenn er an diesen Daten etwas ändert, werden sie beim Beenden mit dem Passwort wieder verschlüsselt gespeichert. Gibt er das falsche Passwort ein, so sieht er falsche Daten. Beim Beenden werden evtl. veränderte Daten nicht gespeichert. Soweit so gut. Stellt sich nur die Frage, wie ich das Passwort speichere. Ich kann das Passwort ja schlecht bei jedem Programm mit dem gleichen Schlüssel verschlüsseln. Einen dynamischen Schlüssel kann ich eigentlich auch nicht verwenden, da ich ja sonst irgendwo diesen nach der Generierung abspeichern müsste :bahnhof: .

Ich hoffe mal, ich stehe gerade einfach nur auf dem Schlauch und jemand kann mir eine Lösung für mein Problem anbieten.

Danke!


----------



## Kim Stebel (9. Aug 2007)

und _wozu_ willst du das Passwort speichern??


----------



## trazzag (9. Aug 2007)

...und wenn du vom Passwort den MD5-Hash bildest? (und dann entsprechend nur den Hash speichern, sofern das überhaupt notwendig ist [sie Antwort/Frage oben])


----------



## The_S (9. Aug 2007)

Das Passwort muss gespeichert werden weil:

- ich erkennen muss ob das Passwort richtig oder falsch ist (zwecks speichern der Daten).
- sollte das Passwort vergessen werden, muss ich es ja irgendwie wieder rekonstruieren und dem User zuschicken können.

---------------

Würde ich das Passwort als MD5 speichern, könnte ich ja nicht direkt mit dem Passwort verschlüsseln, d. h. ich müsste mit dem MD5 Wert verschlüsseln, welcher ja dann wieder irgendwo gespeichert werden muss. Oder hab ich da nen Denkfehler!?


----------



## SlaterB (9. Aug 2007)

das Passwort wird erst vom User eingegeben, dann ist es bekannt und kann verwendet werden,
der Hash dient zur Überprüfung des Passworts,

'vergessen' ist tötlich, niemand kennt das Passwort, dann muss man ein neues zuweisen,
so ist das ja auch bei Foren wie diesem hier, Linux und überall sonst


----------



## The_S (9. Aug 2007)

@Slater

so gehts natürlich. Danke, hatte wohl n Brett vorm Kopf.

Dennoch bleibt ein Problem: Sollte das Passwort vergessen und ein neues generiert werden, so müssen die Daten ja auch mit dem neuen Passwort verschlüsselt werden. Dies setzt aber voraus, dass die Daten vorher entschlüsselt werden, was aber nicht geht, da das ursprüngliche Passwort nicht bekannt ist sondern nur der md5-hash ...


----------



## SlaterB (9. Aug 2007)

dies ist ein allgemeines Problem: wozu Daten verschlüsseln, wenn man sie auch wieder ohne Schlüssel entschlüsseln kann?

dann musst du das alte Passwort eben irgendwo merken 

oder die Daten generell mit einem internen separaten Schlüssel verschlüsseln
und das Passwort regelt nur den Zugriff auf diese Daten im Programm,

da jeder behaupten kann, der User X ohne Passwort zu sein, macht das alles wenig Sinn
(edit: ok, letzteres gilt ja auch für Neuzuweisung eines Passworts, muss man an eine bestimmte Email-Adresse schicken oder ähnliche Techniken)


----------



## Hilefoks (9. Aug 2007)

Wie SlaterB schon sagte: Nicht das Passwort speichern sondern einen MD5 oder besser SHA Hash.

Um den Benutzer zu authentifizieren brauchst du dann ja nur das von Ihm eingegebene Passwort ebenfalls zu hashen und kannst dann den gespeicherten Hash mit dem eben erzeugten vergleichen. Stimmen beide überein war es das richtige Passwort. Und somit hast du dann, zur Laufzeit, auch das Passwort um die Daten zu entschlüsseln.

Wenn der Benutzer sein Passwort vergisst, dann hat er erst einmal Pech gehabt. Alles andere weicht die Sicherheit der Daten erheblich auf. Auch dafür gibt es Lösungen - die sind aber erheblich Komplexer und erfordern im Allgemeinen das die Daten nicht mit dem Passwort des Benutzers sondern mit einem weiteren, unabhängigen Passwort verschlüsselt werden.

MfG,
Hilefoks


----------



## The_S (9. Aug 2007)

Aber wenn das Passwort wieder nur den Zugriff verwaltet, können die verschlüsselten Daten ja einfach ausgelesen, und manuell (anhand des quellcodes meines programms) entschlüsselt werden ...

Praktisch gesehen darf der User also sein Passwort einfach nicht vergessen!? Ansonsten gibt es keine Sicherheit ...

@Hilefoks

auch wenn das für mich vermutlich overkill wäre, kannst du mir ein solches Verfahren nennen?


----------



## SlaterB (9. Aug 2007)

> Praktisch gesehen darf der User also sein Passwort einfach nicht vergessen!? Ansonsten gibt es keine Sicherheit ... 


zäum das Pferd nicht von hinten auf,
andersrum: wenn das Programm das Passwort an jederman verrät, wo ist dann die Sicherheit?
oder wie willst du das 'Passwort-zurückgeben-nach-Vergessen' regeln?
oder ist/ war/ wäre das auch noch ein Teil der Frage?


----------



## The_S (9. Aug 2007)

Die Rückgabe des Passwortes habe ich mir schon überelgt. Das Ganze läut als J2ME Anwendung auf einem Handy. Beim 1. Programmstart wählt der User sein Passwort aus und legt eine Handy-Nummer an, an die das Passwort im Falle des Falles via SMS versendet wird. Nachdem das Passwort aber scheinbar nicht sicher verwart werden kann, brauche ich wohl einen anderen Ansatz ...

Was haltet ihr von einer "individuellen Passwortabfrage"? Also der User gibt nicht nur sein gewünschtes Passwort ein, sondern auch die Frage danach. Dann steht beim Start des Programms nicht mehr "Bitte Passwort eingeben" sondern z. B. "Was war am 7.5.1982?". Ein Fremder kann damit nichts anfangen, der User bekommt aber einen (selbst gewählten) Hinweis darauf, was denn nun sein Passwort war.

Und wer dann sein Passwort immer noch nicht kennt, der hat entweder Amnesie oder ist blöd  .


----------



## Beni (9. Aug 2007)

Hobbit_Im_Blutrausch hat gesagt.:
			
		

> Aber wenn das Passwort wieder nur den Zugriff verwaltet, können die verschlüsselten Daten ja einfach ausgelesen, und manuell (anhand des quellcodes meines programms) entschlüsselt werden ...


Ja

Die Daten müssen so verschlüsselt sein, dass das originale PW zwingend notwendig zum entschlüsseln ist. Da kannst du aber vielleicht etwas eher primitives wie eine XOR - Stromverschlüsselung verwenden.

Der Test mit dem SHA wäre dann lediglich eine Hilfe um falsche Passwörter zu erkennen und den Benutzer zu informieren.



> Praktisch gesehen darf der User also sein Passwort einfach nicht vergessen!? Ansonsten gibt es keine Sicherheit ...


Wenn alles nur lokal abläuft: ja. Wenn das Programm irgendwie auf einen sicheren Server zugreiffen kann, hast du dort die Möglichkeit "gefährliche" Daten (wie das originale PW) zu speichern.


----------



## The_S (9. Aug 2007)

Hi Beni,

danke für deine Antwort. Das Programm läuft (wie bereits geschrieben) auf einem Handy. Wird eine nicht kommerzielle Anwendung. Von daher kann ich es mir wohl nicht leisten einen Server (geschweige denn einen gut gesicherten Server) schnell mal für diese Anwendung aufzustellen.

D. h. ich muss irgendwie dafür sorgen, dass der User sein Passwort nicht vergisst bzw. ihm eine Möglichkeit geben sich wieder an sein Passwort zu erinnern. Daher der Vorschlag der "individuellen Passwortabfrage" in meinem vorhergehenden Post.

Um die Verschlüsselung der Daten mach ich mir erstmal keine Gedanken. Das kommt erst, sobald ich eine Möglichkeit gefunden habe, wie ich mein aktuelles Problem am Besten löse/umgehe. Dennoch freue ich mich natürlich auch jetzt schon über Verschlüsselungsmethoden, die ich dann später einsetzen kann.


----------



## L-ectron-X (9. Aug 2007)

Bei manchen E-Mail-Providern werden Erinnerungsfragen gestellt, die man mit einer bei der Registrierung vorher selbst festgelegten Antwort beantworten muss, um an das vergessene Passwort zu kommen.


----------



## The_S (9. Aug 2007)

Hi LeX, danke für deine Antwort!

Das ist mir bekannt, geht in meinem Fall aber nicht, da ich das Passwort ja nicht speichern kann. Bzw. auch nicht die Antwort auf eine solche Frage.

btw: Wegen diesen Sicherheitsfragen bin ich auch auf die idee mit der Individuellen Passwortabfrage gekommen  .


----------



## ice-breaker (10. Aug 2007)

Hobbit_Im_Blutrausch hat gesagt.:
			
		

> Das ist mir bekannt, geht in meinem Fall aber nicht, da ich das Passwort ja nicht speichern kann. Bzw. auch nicht die Antwort auf eine solche Frage.



du kannst zwar das Passwort nicht speichern aber einen Hinweis darauf, oder?
Auch Hinweis wird einem fremden nichts nutzen und wenn doch dann hat die Person einen sehr schlechten Hinweis gewählt.


----------



## The_S (10. Aug 2007)

joa, deswegen diese "individuelle Passwortabfrage". Warum bekomm ich diesbezüglich eigentilch kein Feedback  ?


----------



## ice-breaker (10. Aug 2007)

Hobbit_Im_Blutrausch hat gesagt.:
			
		

> joa, deswegen diese "individuelle Passwortabfrage". Warum bekomm ich diesbezüglich eigentilch kein Feedback  ?


Also ich würde mir da beschwuert vorkommen wenn mein Handy mich fragen würde was an dem und dem tag passiert ist oder so, ich wäre für nen normales Passwort und nen Passwort-Hint, macht Windows das nicht auch so ?


----------



## The_S (10. Aug 2007)

Hm, danke für die (ehrliche) Meinung  . Also lieber ein "Passwort eingeben" Dialog und dann bei Bedarf den Hint aufrufen, als gleich den Hint als Passwortabfrage zu verwenden!?

Der Unterschied zu Windows u. .ä. ist, dass sich dort der Hinweis nicht auf das Passwort bezieht, sondern so eine Art 2. Passwort mit modifizierter Abfrage generiert wird. Ist dieses 2. Passwort dann korrekt, wird das richtige Passwort freigegeben bzw. zurückgesetzt.


----------



## SlaterB (10. Aug 2007)

mit dem Hint provozierst du Passwörter wie 'Susi',
und das gehört ja unter Strafe gestellt,
am besten, dein Programm akzeptiert nur Passwörter a la 'nl3KH*25l,.,.,x.ced',
dann siehst du mit der Abfrage alt aus 

naja, geht ja auch ne Dimension kleiner mit 'Susi99', auf dem Handy gibts vielleicht eh nur Zahlen?


----------



## The_S (10. Aug 2007)

Ja, stimmt schon. Aber irgendwo möchte ich einen Hint, da es ja doch mal vorkommen kann, dass man sein Passwort vergisst. Eine verpflichtende Eingabe von meinetwegen min. 8 Zeichen, Zahlen, Groß- und Kleinschreibung könnte das Problem aber minimieren. Auf der anderen Seite sollte sich jeder selbst klar machen, wie viel Sicherheit ihm seine Daten Wert sind (geht hier btw um einen Passwort Tresor mit eingebautem Generator).

Auch auf dem Handy kann das komplette Alphabet mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen genutzt werden  .


----------



## SlaterB (10. Aug 2007)

so begrenzt, wie ich das kenne, muss man für Buchstaben ja teilweise mehrfach drücken,
stelle mir das für einen ungeübten User wie mich schwer vor, wenn auf dem Display nur **** steht 

schon mal ne PIN mit Buchstaben gesehen?


----------



## The_S (10. Aug 2007)

joa, man muss sogar in den allermeisten Fällen für Buchstaben mehrere Zahlen drücken. Dafür hab ich aber ein Options-Feld eingebaut, welches die Passworteinabe optional auch im Klartext anzeigt.


----------



## trazzag (10. Aug 2007)

kann mich SlaterB nur anschließen: Passwort-Hint würde wirklich "sichere", kryptische Passwörter quasi ausschließen.
Passwörter speichern, aus bereits genannten Gründen, kommt auch nicht in Frage --> wer sein Kennwort vergisst, hat halt Pech!

ODER du verwendest ein asymtrisches Public-Key Verschlüsselungsverfahren (wie z.B. OpenPGP), wobei die Daten gegen DEINEN allgemeinen PublicKey und dem jeweiligen Key des Nutzers verschlüsselt werden. Vergisst ein Nutzer sein Kennwort, können die Daten mit deinem Key immernoch entschlüsselt werden und sie können mit einen neuen Key des Nutzer wieder neu verschlüsselt werden.


----------



## SlaterB (10. Aug 2007)

@trazzag: ?
immer noch gilt: wie um alles in der Welt sollen die Daten ohne das alte Passwort entschlüsselt werden?

das hat nichts mit öffentlicher/ privater Schlüssel zu tun, 
denn wenn du da deinen privaten verlierst, ist auch essig


----------



## trazzag (10. Aug 2007)

ähm nein: wenn die Daten, wie geschrieben gegen ZWEI Schlüssel verschlüsselt werden (also, einmal den des Users und einmal den vom Hobbit), kann nach Verlust des User-Schlüssels unser Hobbit immernoch die Daten mit seinem Private-Key entschlüsseln (da ja gegen seinen Public-Key verschlüsselt wurde).
Nun kann der User die entschlüsselten Daten wieder gegen einen neuen Schlüssel (und zur Sicherheit den vom Hobbit) verschlüsseln.
Nur Hobbit_Im_Blutrausch darf dann seinen Private-Key nicht auch verlieren...


----------



## SlaterB (10. Aug 2007)

> nach Verlust des User-Schlüssels unser Hobbit immernoch die Daten mit seinem Private-Key entschlüsseln 

wie kann dieser Schritt funktionieren, außer dadurch, dass der alte User-Schlüssel keine Rolle spielt?

was ist hier der Unterschied in der Entschlüsselung zwischen
a) alter Schlüssel vorhanden und
b) alter Schlüssel nicht vorhanden
?

-------

edit: ok, verstanden, du meinst zwei separate Dateien,
die Hobbit-Datei muss der Hobbit manuell entschlüsseln nachdem man ihm die Dateien zugeschickt hat


----------



## trazzag (10. Aug 2007)

Nee, nicht ganz:
Bei OpenPGP kannst du eine beliebe Datei gegen beliebig viele Public-Keys verschlüsseln, wobei nur EINE Datei als Ergbnis herauskommt. Jeder, der zu einem der verwendeten PublicKeys einen Private-Key hat, kann die Daten wieder entschlüsseln.

Und Thema manuell nach zuschicken: das könnte man eventuell als WebService implementieren, wobei gleich ein neues Schlüsselpaar für den Nutzer erzeugt wird und dieser die Daten sofort mit seinem neuen Passwort verschlüsselt erhält.


----------



## SlaterB (10. Aug 2007)

erstaunlich,
ist das neu? noch nie von gehört, hast du einen Link dazu?


----------



## The_S (10. Aug 2007)

Das ist ja alles schön und gut, aber irgendwo komm ich ja dann wieder ins Spiel. D. h. ich muss eine Möglichkeit bereit stellen, um Daten "extern zu sammeln". Was aber wohl nicht ohne einen Server geht, was ich aber nicht verwenden kann, wie bereits angemerkt  .


----------



## SlaterB (10. Aug 2007)

die Daten bleiben auf dem Handy, man müsste sie nur bei Vergessen dir zuschicken können,
eine Art techischer Support im GAU-Fall 

was natürlich auch beinhaltet, dass du sie dann lesen kannst, vielleicht nicht ideal 

hier meine ich mich erinnern zu können, dass man diese Daten dann mit einem anderen, neuen Schlüssel Y verschlüsseln kann,
sie an Hobbit schickt, der sie mit seinem Schlüssel entschlüsselt, dann aber nicht lesen kann, da immer noch mit Y verschlüsselt,
zurück an den User sendet, der sie mit dem hoffentlich nicht schon wieder vergessenen Schlüssel Y entgültig entschlüsselt

schlüssig


----------



## trazzag (10. Aug 2007)

> erstaunlich,
> ist das neu? noch nie von gehört, hast du einen Link dazu?



Eigentlich ist das überhaupt nix neues und seit Jahren gänginge Praxis. Steht sogar was zu im Wikipedia-Artikel :


> Dieser symmetrische Schlüssel wird dann per RSA- oder Elgamal-Kryptosystem mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Nachricht hinzugefügt. Dadurch ist es möglich, eine Nachricht für mehrere Empfänger gleichzeitig zu verschlüsseln. Eine für mehrere Empfänger verschlüsselte Nachricht sieht dann folgendermaßen aus:


----------



## SlaterB (10. Aug 2007)

na ok, das ist dann ja auch nix besonderes mehr, nur noch geschicktes Management


----------



## The_S (10. Aug 2007)

OK, danke Jungs. Ich schaus mir mal an, auch wenn ich dann irgendwo einen Dienst haben müsste, der das alles für mich erledigt ...


----------



## The_S (14. Aug 2007)

Da ich jetzt die Verschlüsselung mit XOR vornehme (wie von Beni vorgeschlagen), ist mir eine weitere Idee gekommen. Ich könnte dem User im Falle von "Passwort vergessen" die Möglichkeit anbieten, ein bereits gespeichertes Passwort (hier nochmal die Erinnerung, dass es sich um einen Passwort-Manager handelt ;-) ) einzugeben. Anhand dessen lässt sich ja dann der eigentliche Schlüssel rekonstruieren.

Oder stellt das eurer Meinung nach ein Sicherheitsrisiko dar?


----------



## SlaterB (14. Aug 2007)

dürfte einem unbedarften User merkwürdig vorkommen, aber klingt ganz gut,
weißt du denn die genaue Position von allen Passwörter/ soll der User auch noch sagen welches Passwort es ist?/ nur das erste?
kommt es von der Länge hin?

edit hinsichtlich Wildcard:
generell wäre dann vielleicht XOR nciht zu empfehlen,
nciht dass man mit einem Passwort eines Users alle anderen herausfindet


----------



## Wildcard (14. Aug 2007)

Gerade bei einem Passwort Manager (geht nichts über KeePass  :wink: ) ist Sicherheit das oberste Gebot!
Bau keine Hintertüren ein! Wenn der User sein PW vergisst, hat er Pech gehabt.


----------



## The_S (14. Aug 2007)

@SlaterB

hatte mir gedacht, dass er bei weniger als 3 Passwörtern alle Passwörter eingeben muss, ansonsten 3 frei wählbare Passwörter. Das exakte Passwort bekommt er so natürlich nicht (Masterpasswort-Länge muss ja nicht mit Normalenpasswort-Länge übereinstimmen), aber ein seeeeeeeeehr eindeutiger Hinweis sollte dabei doch rausspringen.

Ansonsten ist mir die Idee mit "weißt du eins und hast die Datei, weißt du alle" auch schon gekommen. Deshalb die Frage nach dem Sicherheitsaspekt. Welchen Verschlüsselungsalgorithmus würdet ihr denn dann empfehlen? Bitte bedenken, dass ich dabei einen beliebig langen Schlüssel verwenden muss, und dass die Rechenzeit nicht zu intensiv sein darf, da Handyanwendung.

@Wildcard

OK, hast ja recht  . Werd dann wohl auch nen anderen Algorithmus zur Verschlüsselung verwenden

@Alle

Bei der Eingabe eines falschen Passworts wird dem "Einbrecher" zwar vorgegaukelt, das richtige Passwort eingegeben zu haben, er bekommt aber falsche Daten.

1.) Welche Daten würdet ihr alles verschlüsseln? Nur Passwort, oder zusätzlich noch den angegebenen Login?
2.) Würdet ihr bei einem falschen Passwort die Daten einfach mit dem falschen Schlüssel entschlüsseln, oder würdet ihr neue (fiktive) Daten generieren?

Danke!


----------



## Wildcard (14. Aug 2007)

Hobbit_Im_Blutrausch hat gesagt.:
			
		

> Bei der Eingabe eines falschen Passworts wird dem "Einbrecher" zwar vorgegaukelt, das richtige Passwort eingegeben zu haben, er bekommt aber falsche Daten.
> 
> 1.) Welche Daten würdet ihr alles verschlüsseln? Nur Passwort, oder zusätzlich noch den angegebenen Login?
> 2.) Würdet ihr bei einem falschen Passwort die Daten einfach mit dem falschen Schlüssel entschlüsseln, oder würdet ihr neue (fiktive) Daten generieren?


Gibs zu, die Idee hast du von KeePass geklaut  :wink: 
1) alle Daten, auch ein Login ist sensibel
2) mit dem falschen Passwort entschlüsseln birgt die Gefahr, dass die Passwortlänge ausgelesen werden kann.
Auch beim Speichern der Daten musst du darauf achten, dass die Länge nicht ausgelesen werden kann.

Was hast du eigentlich vor besser zu machen als http://sourceforge.net/projects/keepassj2me ?


----------



## The_S (14. Aug 2007)

Wildcard hat gesagt.:
			
		

> Gibs zu, die Idee hast du von KeePass geklaut  :wink:



Nö, ich hab bis jetzt noch keinen einzigen Passwort-Manager verwendet (weder Handy, noch am PC)  .



			
				Wildcard hat gesagt.:
			
		

> 1) alle Daten, auch ein Login ist sensibel



OK, dann wird Passwort und Login geschützt.



			
				Wildcard hat gesagt.:
			
		

> 2) mit dem falschen Passwort entschlüsseln birgt die Gefahr, dass die Passwortlänge ausgelesen werden kann. Auch beim Speichern der Daten musst du darauf achten, dass die Länge nicht ausgelesen werden kann.



Da hast du wohl (mal wieder) recht. Werd mir diesbezüglich noch etwas überlegen!



			
				Wildcard hat gesagt.:
			
		

> Was hast du eigentlich vor besser zu machen als http://sourceforge.net/projects/keepassj2me ?



Da ich wie gesagt noch nie einen Passwort-Manager verwendet habe, habe ich bis jetzt auch nur von keepass gehört. keepassj2me kannte ich hingegen noch gar nicht. Bin bei meiner Google-Suche nur auf kostenpflichtige Angebote gestosen bzw. Freeware, die mir nicht zugesagt habe.

Ich betrachte es einfach als interessantes Thema und gute Übung für mich  . Ansonsten schau ich mir die Anwendung mal an und schau ob ich n paar Ideen klauen/Features verbessern kann  .

[edit] und schon hab ich den 1. Punkt gefunden, den ich besser machen möchte bzw. schon habe:

die Einrichtung/Installation der Anwendung inkl. Datenbank.


----------



## Wildcard (14. Aug 2007)

Also ein Passwort Manager ist sicherlich ein sinnvolles Programm.
Wenn du folgende Features einbaust bin ich auch bereit Geld dafür zu bezahlen:

1)Sicherer Passwortgenerator (lass dir den von KeePass als Vorbild dienen)
2)Sichere Verschlüsselung. d.h. Die Methode transparent machen und dem Anwender die Wahl des Algorithmus überlassen
3)Dazu gehört eine Desktop Anwendung
4)Der Passwort Container muss von Handy zu PC und von PC zu Handy übertragbar sein (Datenkabel, Infrarot, Bluetooth, WLAN,...)
5)Verschiedene Container müssen sich synchronisieren und mergen lassen


----------



## The_S (16. Aug 2007)

1.) Ich habe bereits einen Passwortgenerator eingebaut. Dort kann man die Anzahl der gewünschten Zeichen eingeben (bis zu 50) und zusätzlich auswählen, aus welchen Zeichen das Passwort bestehen darf (Großbuchstaben, Kleinbuchstaben, Zahlen und/oder Sonderzeichen). Allerdings bassiert dieser auf der Random Klasse. Ein Passwort anhand einer Usereingabe wird vermutlich nicht realisiert.
2.) Momentan ist als Hash der SHA und die Verschlüsselung via DES geplant. Ob ich das auch über den User steuern lasse, weiß ich noch nicht.
3.) Wirds vermutlich nicht geben
4.) Da keine Desktop-Anwendung vermutlich auch keine PC-Handy Synchronisation. Was ich mir aber auch schon überlegt habe, ist eine Synchronisation zwischen Handys (Zweit Handy, neues Handy, ...)
5.) Kannste das nochmal genauer erklären? Versteh nämlich gerade net so wie du das meinst (evtl. ist es auch nur zu früh)

Du wirst dafür aber ohnehin nichts bezahlen müssen. Für die User hier wird die Software sowieso erstmal wieder für ein paar Wochen kostenlos bereit stehen. Da könnt ihr dann auch noch Wünsche anbringen  . Anschließend muss ich mir überlegen, ob ich das Teil für 99 Cent oder ähnliches verkauf, oder gleich komplett als Freeware anbiete ...

[edit] Verschlüsselung erfoglt natürlich über AES, nicht DES.


----------



## Wildcard (16. Aug 2007)

5) Ich meine deinen Datencontainer. Ich kopier mir meinen Container auf z.B. ein zweites Handy.
Jetzt füge ich im ersten Container ein neues Passwort ein und entferne ein anderes im zweiten Container.
Jetzt will ich beide Container synchronisieren, also auf den gleichen Stand bringen.
Dabei soll das neue Passwort hinzugefügt, und das gelöschte auch im anderen Container entfernt werden.


----------



## The_S (16. Aug 2007)

Ah, ok ... Wenn ich denn was zum Synchronisieren einbaue, sollte sich dies relativ einfach realisieren lassen  . Danke!


----------



## The_S (16. Aug 2007)

Nachdem jetzt ja alle Daten (Titel, Login, Passwort) verschlüsselt werden, kann ich ja nicht so einfach wie vorher (einfach ein Random-Passwort anzeigen) dem User vorgaukeln, dass er das richtige Passwort erwischt hat. Wie würdet ihr da jetzt vorgehen? Sollte ja auch ein bisschen realistisch sein ...


----------

