Ещё такой вопрос. Мне необходимо хранить пароль пользователя локально. Для

этого планирую использовать ini файл. Это для автозаполнения полей логин и пароль при авторизации. Если он поставил чекбокс - сохранить. Стандартный такой функционал. Так вот, как вы шифруете их? Можете поделиться опытом? Использовал помню как-то встроенный компонент на Делфи, что-то в названии было xxe кажется... Но дешифровать им же можно запщифоланную строку. Не особо в общем-то надежно получается. Хотелось бы какой-то свой метод шифрования, но в то же время основанный уже на какой-то разработке.

есть два пути - сложный и простой. СЛожный - это юзать шифрование на базе ключей. Простой - это что-то свое, но это только от дурака, при детальном разборе такой "шифр" снимается и легко декриптуется.

Стикер

вариант - "в голове" - не подойдет? :)

Осталось понять зачем, если весь функционал и так доступен любому кто запустит ПО.

А зачем хранить именно сам пароль, пусть и зашифрованный ? Есть же хэш MD5 + соль, его и храните, я так в базе хэши паролей храню. Взламывать такие бесполезно, по сути.

при наличии галочки "запомнить пароль" это все как спасение титаника с помощью лейкопластыря.

Ну я такую фичу не использую просто) У меня пароль всегда вводят пользователи

А у меня получается так. Юзер вводит пароль, далее он кэшируется на клиенте а запросом в БД уже сравниваются кэши.

Ну да, все также и у меня. Только не кэши, а хэши :). Также учитывая что в основе системы трехзвенка, то в запрос к БД в параметрах используется хэш пароля.

Кстати запрос к БД, реализующий сравнение, работает через хранимку

Хэши, да) Опечатался. А у меня тоже так же с ХП) Ну то есть ты получается когда юзер нажал галочку - сохранить пароль, то захэшировал его и сложил в файлик. А когда он в следующий раз пытается зайти, ты его захэшированный подставляешь в поле с паролем? Он просто может испугаться, что пароль был 123, а теперь 32 символа. Или 36. Сколько так у хэша, забыл

Ну в этом случае да, хэш можно сохранить в ini-файл, потом его юзать, однако сам хэш получать лучше с солью, не чистый MD5 или аналоги

Стикер

Это как из хеша ты пароль получишь? Шифруй и храни... Только не xor... Это уж совсем от пианэров

Если Вы собираетесь в любом виде хранить пароль в ini-файле, лучше просто уберите проверку пароля из приложения. Не надо никому втирать очки.

Раз оперируете хешем пароля, то тОгда, как решение: храните просто хеш, поксоренный с чем-нибудь. прям в инишнике, в поле пароль "при сохраненном пароле" вбиваете ***** - релаьные звездочки, ну и проверка - если ***** введено, то берем из сохраненного сразу хеш, если нет - то преобразуем в хеш и далее оперируем что там надо сделать

Это только возможно спасёт, от того чтобы не узнать искомый пароль. А так как он в базу уже отдаёт хеш, то в этом случае для логина хеш и есть пароль. Как то выглядит глуповато

ну так хеш храним не прямо так.. но вообще верно, при раскручивании исходника любой алгоритм можно восстановить. можно использовать несколько хеширований подряд, но опять же - как только исходники есть или алгоритм - то полюбому пароль будет введен и даже не зная его, а просто скопировав инишник :)

Я бы в таком случае, если уж прям надо хранить локально, доверил бы чему то готовому зашифровать сам файл. Из прям распространенного я наверное бы sqlite с паролем бы попробовал, но надо конечно почитать что там происходит