Notes-Passwort verschlüsselt übertragen/hinterlegen

[Worn]

Hallo zusammen,

ich habe 2 Fragen zu denen ich leider bisher nichts passenden gefunden habe.

Ich habe ein kleines Tool in VB geschrieben, welches sich mit Hilfe der Interop.Domino.dll
zu einer Mailin Datenbank verbinden kann um danach einfach nur anzuzeigen wieviele Mails
sich derzeit im Eingang befinden.

Das Programm startet die Notes Session folgendermaßen:

domSess.Initialize("meinpasswort")

Jetzt frage ich mich an der Stelle, ob das Passwort denn auch verschlüsselt übertragen wird bei der Verbindung zum Dominoserver?

Des weiteren kann ich später mit einem speziellen Programm welches mir die Strings einer Applikation anzeigen kann das "meinpasswort" in Klartext lesen! Also habe ich es so gemacht, dass ich das Passwort einmal eingebe und dann verschlüsselt in einer Textdatei speichere. Das ist aber auch nicht 100% weil ich den String mit welchem ich das Passwort verschlüssele (brauche ich ja auch wieder zum entschlüsseln!) ja im Programm speichere. Diesen Entschlüsselungsschlüssel kann ich mit dem beschriebenen Programm auch wieder auslesen.

Also weiß hier jemand Rat wie ich eine verschlüsselte Verbindung zu dem Dominoserver aufbaue um das Passwort zu übertragen? Weiterhin wüsste ich gerne wie man ein Passwort speichert und nacher wieder ausliest so das es sicher ist! (ist eher ne VB Frage!)

Ich danke euch!!

Grüße

Ben

[Worn]

Ich glaube ich hab das nur falsch durchdacht. Wenn ich die Notes Session starte mit dem Passwort, dann wird dieses ja eh erst in der ID geprüft und danach regelt die ID die Verbindung zu den Ressourcen, jedenfalls Zugriffsmäßig. Daher wird das PW ja garnicht übertragen.

Ich denke das hat sich damit erledigt.

Grüße
Ben

[flaite]

Nähere Infos könntest du hier bekommen:
http://interoptips.com/

In jedem Fall vermischst du da imho ein paar Konzepte.
Z.B. Übertragungssicherheit und Sicherheit von Schlüsseln.

und das

domSess.Initialize("meinpasswort")

kannst du ja auch so programmieren, dass der Anwender dieses Passwort in einer Inputbox reinschreiben muß, und es so nicht hartkodiert im Code steht.

[koehlerbv]

Ich galube nicht, dass Ben da etwas vermischt, Axel. Das Passwort wird ja nur auf der Clientseite (intern) ausgewertet und nicht an den Server übermittelt (sondern nur ein Hashcode).

Ein anderes Thema ist: Wie sorge ich dafür, dass ich Passwörter / Schlüssel etc. nicht aus meinem Code ausgelesen werden können (oder das zumindest extrem schwer wird). Aber ob hierauf jemand, der das weiss, öffentlich antworten wird? Ich habe da meine Zweifel. Ich werde hierzu jedenfalls nichts sagen 

Bernhard

[m3]

Daten die nicht verschlüsselt gespeichert werden, sind per se nicht sicher. Das gilt selbstverständlich ganz besonders für Passwörter.
Also muss man zumindest ein Passwort eingeben, um dann die anderen verschlüsselten Daten (Passwörter) über das Programm zu entschlüsseln.
Eine sichere Verschlüsselung, bei der man für den Zugriff kein Passwort/Passphrase/PIN, ... braucht, gibt es per se nicht.

Wenn Du Daten in Deinem Programm "sicher" verschlüsseln willst, greife zu einem der Standard-Algorithmen für symetrische Verschlüsselung:
    * AES
    * Triple-DES
    * Blowfish
    * Twofish
    * RC5, RC6

[flaite]

Ich hab so ein symetrisches Verschlüsselungsverfahren einmal in der Praxis gesehen:
Der Notes Server griff mit einem bestimmten Usernamen, Passwort auf SAP zu. Mit dieser 3rd party java SAP api (Name vergessen). Das war ein bestimmter technischer Nutzer im NAB. Username und Passwort wurden über Erweiterungen im NAB verschlüsselt (Java Code und eine Implementierung von einen dieser Algorythm zur symetrischen Verschlüsselung).
Alle konnten Usernamen und Passwort im NAB sehen. Deshalb mußten die eben verschlüsselt sein.
Natürlich konnte jeder, der den Code hatte, beides wieder verschlüsseln. Aber da konnte eben nicht jeder drauf zugreifen.
Sicherheit ist immer relativ.
Absolute Sicherheit gibt es nicht.
Ist in der wirklichen Welt auch so.