Verschlüsseln von Anmeldeinformationen in einer WPF-Anwendung

In einer WPF-Anwendung möchte ich die typischen "Remember Me" - option zum speichern von Anmeldeinformationen und verwenden Sie Sie Nächstes mal automatisch die Anwendung gestartet wird.

Mit einem one-way-hash ist eindeutig keine option, und ich kann zwar speichern von Anmeldeinformationen in einem isolierten Speicher oder in der registry, gibt es ein Thema zu behandeln, der beim verschlüsseln der Anmeldeinformationen.

Wenn ich einen symmetrischen Schlüssel-Verschlüsselung-Algorithmus, das ich bewahren muss der Schlüssel irgendwo. Und wenn der Schlüssel zum Beispiel hardcoded im Speicher, dann kann ich mir vorstellen, es wäre einfach zu demontieren .NET-assemblies, und es finden.

Was ist der beste Weg zum verschlüsseln von Anmeldeinformationen in .NET und halten Sie Sie sicher, halten Sie den Verschlüsselungsschlüssel völlig außer Reichweite?

  • Werfen Sie einen Blick auf das Credential Management API: msdn.microsoft.com/en-us/library/Aa302353
  • Ist der Inhalt des Artikels auch heute noch relevant? Es ist 11 Jahre alt.
  • Ist es noch relevant, aber es gibt einige änderungen in der API seit Vista. Wenn man sich meine Antwort, ich benutze die Windows-Anmeldeinformationen API-auch (aber ich credential store direkt, ohne die Anmeldeinformationen verwenden, die prompt).
  • stackoverflow.com/questions/17741424/...
InformationsquelleAutor Gigi | 2014-03-16
  1. 36

    Hier ist eine Zusammenfassung meiner blog-post: Wie ein Passwort zu speichern, Sie auf Windows?

    Können Sie die Data Protection API und seine .NET-Implementierung (ProtectedData) um das Kennwort zu verschlüsseln. Hier ist ein Beispiel:

    public static string Protect(string str)
{
    byte[] entropy = Encoding.ASCII.GetBytes(Assembly.GetExecutingAssembly().FullName);
    byte[] data = Encoding.ASCII.GetBytes(str);
    string protectedData = Convert.ToBase64String(ProtectedData.Protect(data, entropy, DataProtectionScope.CurrentUser));
    return protectedData;
}

public static string Unprotect(string str)
{
    byte[] protectedData = Convert.FromBase64String(str);
    byte[] entropy = Encoding.ASCII.GetBytes(Assembly.GetExecutingAssembly().FullName);
    string data = Encoding.ASCII.GetString(ProtectedData.Unprotect(protectedData, entropy, DataProtectionScope.CurrentUser));
    return data;
}

    Oder verwenden Sie die Windows-Anmeldeinformations-Manager (Dies ist der Weg, den ich bevorzuge, weil es erlaubt Benutzern, backup/wiederherstellen/Bearbeiten Sie Ihre Anmeldeinformationen eingeben, auch wenn Ihre Anwendung hat keine solche Funktionalität). Ich habe ein NuGet-Paket Meziantou.Rahmen.Win32.CredentialManager. Wie man es verwendet:

    CredentialManager.WriteCredential("ApplicationName", "username", "Pa$$w0rd", CredentialPersistence.Session);

var cred = CredentialManager.ReadCredential("ApplicationName");
Assert.AreEqual("username", cred.UserName);
Assert.AreEqual("Pa$$w0rd", cred.Password);

CredentialManager.DeleteCredential("ApplicationName");

    Original-Antwort mit der nativen API-wrapper (Eine neuere version von diesem ist verfügbar auf GitHub):

    using System;
using System.Collections.Generic;
using System.Runtime.InteropServices;
using Microsoft.Win32.SafeHandles;
using System.Text;
using System.ComponentModel;

public static class CredentialManager
{
    public static Credential ReadCredential(string applicationName)
    {
        IntPtr nCredPtr;
        bool read = CredRead(applicationName, CredentialType.Generic, 0, out nCredPtr);
        if (read)
        {
            using (CriticalCredentialHandle critCred = new CriticalCredentialHandle(nCredPtr))
            {
                CREDENTIAL cred = critCred.GetCredential();
                return ReadCredential(cred);
            }
        }

        return null;
    }

    private static Credential ReadCredential(CREDENTIAL credential)
    {
        string applicationName = Marshal.PtrToStringUni(credential.TargetName);
        string userName = Marshal.PtrToStringUni(credential.UserName);
        string secret = null;
        if (credential.CredentialBlob != IntPtr.Zero)
        {
            secret = Marshal.PtrToStringUni(credential.CredentialBlob, (int)credential.CredentialBlobSize / 2);
        }

        return new Credential(credential.Type, applicationName, userName, secret);
    }

    public static int WriteCredential(string applicationName, string userName, string secret)
    {
        byte[] byteArray = Encoding.Unicode.GetBytes(secret);
        if (byteArray.Length > 512)
            throw new ArgumentOutOfRangeException("secret", "The secret message has exceeded 512 bytes.");

        CREDENTIAL credential = new CREDENTIAL();
        credential.AttributeCount = 0;
        credential.Attributes = IntPtr.Zero;
        credential.Comment = IntPtr.Zero;
        credential.TargetAlias = IntPtr.Zero;
        credential.Type = CredentialType.Generic;
        credential.Persist = (UInt32)CredentialPersistence.Session;
        credential.CredentialBlobSize = (UInt32)Encoding.Unicode.GetBytes(secret).Length;
        credential.TargetName = Marshal.StringToCoTaskMemUni(applicationName);
        credential.CredentialBlob = Marshal.StringToCoTaskMemUni(secret);
        credential.UserName = Marshal.StringToCoTaskMemUni(userName ?? Environment.UserName);

        bool written = CredWrite(ref credential, 0);
        int lastError = Marshal.GetLastWin32Error();

        Marshal.FreeCoTaskMem(credential.TargetName);
        Marshal.FreeCoTaskMem(credential.CredentialBlob);
        Marshal.FreeCoTaskMem(credential.UserName);

        if (written)
            return 0;

        throw new Exception(string.Format("CredWrite failed with the error code {0}.", lastError));
    }

    public static IReadOnlyList<Credential> EnumerateCrendentials()
    {
        List<Credential> result = new List<Credential>();

        int count;
        IntPtr pCredentials;
        bool ret = CredEnumerate(null, 0, out count, out pCredentials);
        if (ret)
        {
            for (int n = 0; n < count; n++)
            {
                IntPtr credential = Marshal.ReadIntPtr(pCredentials, n * Marshal.SizeOf(typeof(IntPtr)));
                result.Add(ReadCredential((CREDENTIAL)Marshal.PtrToStructure(credential, typeof(CREDENTIAL))));
            }
        }
        else
        {
            int lastError = Marshal.GetLastWin32Error();
            throw new Win32Exception(lastError);
        }

        return result;
    }

    [DllImport("Advapi32.dll", EntryPoint = "CredReadW", CharSet = CharSet.Unicode, SetLastError = true)]
    static extern bool CredRead(string target, CredentialType type, int reservedFlag, out IntPtr credentialPtr);

    [DllImport("Advapi32.dll", EntryPoint = "CredWriteW", CharSet = CharSet.Unicode, SetLastError = true)]
    static extern bool CredWrite([In] ref CREDENTIAL userCredential, [In] UInt32 flags);

    [DllImport("advapi32", SetLastError = true, CharSet = CharSet.Unicode)]
    static extern bool CredEnumerate(string filter, int flag, out int count, out IntPtr pCredentials);

    [DllImport("Advapi32.dll", EntryPoint = "CredFree", SetLastError = true)]
    static extern bool CredFree([In] IntPtr cred);



    private enum CredentialPersistence : uint
    {
        Session = 1,
        LocalMachine,
        Enterprise
    }

    [StructLayout(LayoutKind.Sequential, CharSet = CharSet.Unicode)]
    private struct CREDENTIAL
    {
        public UInt32 Flags;
        public CredentialType Type;
        public IntPtr TargetName;
        public IntPtr Comment;
        public System.Runtime.InteropServices.ComTypes.FILETIME LastWritten;
        public UInt32 CredentialBlobSize;
        public IntPtr CredentialBlob;
        public UInt32 Persist;
        public UInt32 AttributeCount;
        public IntPtr Attributes;
        public IntPtr TargetAlias;
        public IntPtr UserName;
    }

    sealed class CriticalCredentialHandle : CriticalHandleZeroOrMinusOneIsInvalid
    {
        public CriticalCredentialHandle(IntPtr preexistingHandle)
        {
            SetHandle(preexistingHandle);
        }

        public CREDENTIAL GetCredential()
        {
            if (!IsInvalid)
            {
                CREDENTIAL credential = (CREDENTIAL)Marshal.PtrToStructure(handle, typeof(CREDENTIAL));
                return credential;
            }

            throw new InvalidOperationException("Invalid CriticalHandle!");
        }

        protected override bool ReleaseHandle()
        {
            if (!IsInvalid)
            {
                CredFree(handle);
                SetHandleAsInvalid();
                return true;
            }

            return false;
        }
    }
}

public enum CredentialType
{
    Generic = 1,
    DomainPassword,
    DomainCertificate,
    DomainVisiblePassword,
    GenericCertificate,
    DomainExtended,
    Maximum,
    MaximumEx = Maximum + 1000,
}

public class Credential
{
    private readonly string _applicationName;
    private readonly string _userName;
    private readonly string _password;
    private readonly CredentialType _credentialType;

    public CredentialType CredentialType
    {
        get { return _credentialType; }
    }

    public string ApplicationName
    {
        get { return _applicationName; }
    }

    public string UserName
    {
        get { return _userName; }
    }

    public string Password
    {
        get { return _password; }
    }

    public Credential(CredentialType credentialType, string applicationName, string userName, string password)
    {
        _applicationName = applicationName;
        _userName = userName;
        _password = password;
        _credentialType = credentialType;
    }

    public override string ToString()
    {
        return string.Format("CredentialType: {0}, ApplicationName: {1}, UserName: {2}, Password: {3}", CredentialType, ApplicationName, UserName, Password);
    }
}

    Verwendung:

    WriteCredential("ApplicationName", "Meziantou", "Passw0rd");
Console.WriteLine(ReadCredential("Demo"));
    • Funktioniert Super, und ist einfach zu bedienen. Nur ein paar Fragen... macht die Verwendung eines "applicationName" - parameter bedeutet das, Sie haben nur eine Berechtigung paar pro distinct name der Anwendung, und gibt es etwas, das in der Regel getan, um zu versuchen zu minimieren, Anwendung von Namenskonflikten?
    • Ich habe getestet dieses Szenario. Wird die Berechtigung aktualisiert, so dass Sie nicht haben, können zwei creds für die gleiche Anwendung Namen.
    • Nur eine note hinzufügen, die als pro diese Frage stackoverflow.com/questions/22528292/... : verwenden Sie CredentialPersistence."LocalMachine" zu bestehen Anmeldeinformationen über login-sessions.
    • Wie über das hinzufügen der Bedarf mit x-Anweisungen, um Ihre Antwort? Ich konnte alle fangen (nur ein?) aber mir fehlt noch die Quelle für die generische Methode PtrToStructure<T>. Meinst du das folgende: (CREDENTIAL)Marschall.PtrToStructure(Berechtigung, typeof(CREDENTIAL)) ?
    • Sorry, PtrToStructure<T> ist neu mit .NET 4.5. Wenn Sie nicht verwenden .NET 4.5 verwenden, die nicht generische version und warf das Ergebnis
    • Ich aktualisiert meine Antwort
    • Gerade lese ich es: Diese Methode unterstützt wird .net Framework 4.5.1 nur, nicht in 4.5.
    • Ich habe gerade bearbeiteten code in die Antwort fix ein memory leak (3 Anrufe zu Marshallen.StringToCoTaskMemUni in WriteCredential ohne entsprechende Aufrufe von Marschall.FreeCoTaskMem).
    • Beachten Sie, dass das Kennwort angezeigt wird, um ein limit von 512 bytes. (Ich war versucht, es zu benutzen, zu speichern, JWT Token...)
    • Gibt es eine Möglichkeit zum löschen von gespeicherten Anmeldeinformationen mit dieser Methode?
    • Verwenden Sie die CredDelete Methode: [DllImport("Advapi32.dll", EntryPoint = "CredDeleteW", CharSet = CharSet.Unicode, SetLastError = true)]public static extern bool CredDelete(string target, CredentialType type, int reservedFlag);
    • EnumerateCrendentials frei werden sollte, die pCredentials Speicher. Rufen Sie CredFree(pCredentials); nach der for-Schleife. Danke für die Antwort. Auch, wenn Sie mehr wollen als einen Benutzer pro app, verwenden Sie einfach "AppName\\Benutzername" als app-name. Fügen Sie dann den filter arg zu EnumerateCrendentials und rufen Sie es mit "AppName\*".
    • Die neueste version dieser code ist verfügbar auf GitHub und nennt CredFree. Ich habe den link Hinzugefügt, um das repository in der Antwort.

    InformationsquelleAutor meziantou
Schreibe einen Kommentar