Hallo Communitiy,
ich habe mal im Forum gesucht aber nur die Standard Passwortabfrage gefunden.
Jetzt zu meiner Frage, ist es möglich eine Passwort Authentifizierung zu erstellen die verschlüsselt ist ?? Sinn und Zweck des ganzen ist einfach der das man das Passwort nicht
aus dem Quelltext auslesen kann. Gibt es dafür einen Parameter evtl. auch md5 auch auslesen könnte. 
Du kannst rein nur mit Autoit kein Passwort "sicher" verschlüsseln, da es sehr einfach zu decompilieren ist.
Gibt aber diese Befehle in Autoit:
[autoit]_Crypt_EncryptData
_Crypt_DecryptData
Ist es mit diesem Befehl möglich einen Wert dann zu verschlüsseln bzw. zu entschlüsseln ??
Ja, einfach in der Hilfe lesen da sind Beispiele auch drin.
Wenn ich das richtig lese ist die Prozedur folgende:
- Encrytion starten
- Schlüssel erstellen
- Wert mit Schlüssel verschlüsseln
- Schlüssel zerstören
- Encrytion beenden
Richtig ??
ja, dann hast du dein Passwort verschlüsselt! Und was bringt dir das?
Woher weiss dein Programm denn, ob das entschlüsselte Passwort das richtige ist?
Das geht nur mit einem Vergleich....und schon bist du wieder in den A**** gekniffen, denn um zu vergleichen ob das entschlüsselte Passwort das richtige ist, brauchst du das......entschlüsselte Passwort!
Mit ein bisschen googeln hättest du das aber auch herausgefunden! Man braucht nicht mal einen Decompiler, um den AutoItquellcode auszulesen, mit den einfachsten Windows Bordmitteln geht das auch. Aber auch andere Programmiersprachen sind nicht besser bzw. sicherer. Passwörter gehören nicht in den Quellcode! Bei einem "Passwortgeschützten WoW-"Angelbot" ist das einfach nur dämlich, wenn aber Zugangsdaten für FTP/Fileserver in einem Quellcode liegen, dann interessieren sich auch "böse Buben" dafür....und dann gnade dir Gott wenn du einem Staatsanwalt erklären muss, warum dein Server in einem Botnet fleissig Kinderpornos durch das Netz schickt!
Ich denke das ganze läuft in die falsche Richtung, trotzdem danke für die Antworten
Hängt auch davon ab, in welcher Umgebung Dein Skript laufen soll.
In einer Firma könntest Du z.B. gegen das AD prüfen.
Der User gibt das aktuelle Passwort für sein AD Konto ein, Du baust mit _AD_Open() eine Verbindung auf und wenn Du keinen Fehler bekommst, dann war das Passwort richtig.
Nein es sollte kein SSO sein, das ganze läuft auf einer unix maschine über Putty. Ich arbeite an der Stelle mit der Input box aber ein simples
"If $passwort = "passwort"" bringt mir an der Stelle nichts, da ich nicht möchte das das Passwort aus dem Quellcode ausgelesen werden soll.
Praktisch wäre es wen es so ablaufen würde.:
- Inputbox Passwortabfrage
- Passwort wird verschüsselt und mit dem verschlüsseltem code im quelltext überprüft (MD5 oder so)
- Wenn verschlüsseltes passwort gleich dann zugriff ansonsten msgbox
Klar ist mir bewusst das jetzt jemand sagen kann das man den Md5 Code kopieren kann und durch einen hasher laufen lassen kann aber die Frage ist jetzt einfach ob es so eine Möglichkeit gibt.
Aso, das geht einfach. Das ist aber kein Verschlüsseln dann sondern eine Hasherzeugung. Damit kannst den md5-Hash eines Strings erzeugen:
[autoit]
#include <Crypt.au3>
$string = "Hier ist das Passwort"
$hash = _Crypt_HashData($string, $CALG_MD5)
Msgbox(0,"md5-Hash",$hash)
Aber mit der 2ten Zeile hätte ich das Passwort wieder im Quelltext. Ich denke eher daran das Passwort extern zu hashen und im Quelltext nur den Hash anzugeben
Bisschen mitdenken sollte schon von dir zu erwarten sein, wenn nicht gehört das in die Jobbörse!
Du erzeugst den Hash aus den Eingaben der Inputbox und vergleichst in mit einem im Script hinterlegten Hash.
Ja stimmt, danke so könnte es klappen =)
aber sonst klappt noch alles?
das Passwort wird gehashed und mit dem hash im quellcode verglichen....wo ist da der Unterschied das Passwort direkt zu vergleichen?
Und jetzt komm nicht mit "PASSWORT" ist im Quellcode leichter zu finden als 0xAB22E2C248E6F22A.... 
Einen kleinen Unterschied gibt es schon. Mit dem Hashwert kann man das Passwort auf Echtheit prüfen, ohne dass das Passwort im Skript enthalten ist.
Nur allein mit dem Hashwert kommst Du zum Beispiel nicht auf einen FTP-Server.
aber sonst klappt noch alles?
das Passwort wird gehashed und mit dem hash im quellcode verglichen....wo ist da der Unterschied das Passwort direkt zu vergleichen?
Und jetzt komm nicht mit "PASSWORT" ist im Quellcode leichter zu finden als 0xAB22E2C248E6F22A....
Das ist genau das was ich ein paar Antworten davor geschrieben habe, abgesehen davon was "Oscar" geschrieben hat.
"Klar ist mir bewusst das jetzt jemand sagen kann das man den Md5 Code kopieren kann und durch einen hasher laufen lassen kann aber die Frage ist jetzt einfach ob es so eine Möglichkeit gibt."
