Форум АНТИЧАТ - QIP 2005 Build 8010

Цитата:

- [обн] командная строка: добавлен параметр "/cryptpass", при котором сохраненный пароль расшифровать будет невозможно (подробнее читайте на нашем форуме);

вот собстно подробнее про это:

Цитата:

Хочется рассказать о новом методе хранения пароля. Если вы начали читать, что тут написано, то прочтите до конца, прежде чем использовать параметр /cryptpass. Учтите, что этот параметр придуман для опытных пользователей. Прежде, чем начинать эксперименты с параметром /cryptpass, то на всякий случай удостоверьтесь, что вы помните пароль от своей учетной записи. Также ваш пароль не должен быть длиннее 8 символов.

В последнее время появилось очень много троянских программ, которые воруют пароли с различных клиентов, в том числе и с QIP. Я об этом думал долго. Но сколько бы я не думал и не придумывал способов хранения пароля, самый надежный из них, это вообще не сохранять пароль (т.е. не ставить галочку напротив "Сохранить пароль"). Но поскольку большинству неудобно каждый раз вводить пароль, то приходится придумывать новые методы шифрования пароля. Вся проблема шифрования пароля заключается в том, что его должен расшифровать сам QIP чтобы успешно вас подключить к сети. Это то самое слабое звено, которое дает возможность, с помощью различных отладчиков, разгадать алгоритм, по которому идет расшифровка пароля в QIP. И ничего другого по сути придумать невозможно. Но, как мне кажется, есть варианты усложнения процесса разгадывания алгоритма пароля:

1. Это использовать "одностороннее" шифрование, которое уже давно широко используется в операционных системах и программах, где присутствует аутентификация по имени пользователя и паролю.
В связи с недавним обновлением на серверах, теперь стало возможно подключать все без исключения учетные записи через "Безопасный вход". А до этого, все его преимущества невозможно было использовать. Что это дает? Это позволяет один раз зашифровать пароль с помощью MD5 шифрования и дальше использовать только зашифрованный пароль (MD5 хеш). Говоря на простом и понятном языке, алгоритма расшифрования MD5 хеша не существует из-за специфики шифрования MD5. Разгадать значение md5 хеша можно только путем перебора паролей и получения такого же md5 хеша, но это процесс довольно-таки долгий и при сложном пароле это может занять не один месяц.

Что это дает в конечном итоге:
Ваш пароль не хранится на компьютере, но вы можете подключаться к сети, не вводя каждый раз пароль, потому что на компьютере храниться только мд5 хеш. Если у вас украдут md5 хеш, то с большей вероятностью злоумышленник сможет также подключиться с помощью вашего md5 хеша, но узнать пароль ему не удастся, а если это у вас был универсальный пароль, то значит он не узнает пароль от вашего email адреса и прочих систем. К сожалению, специфика сегодняшних серверов ICQ такая, что зная только md5 хеш, можно через какие-либо самописные программы сменить пароль. Но думаю этот вопрос решится через пару лет.

2. А что если пароль и сам md5 хеш зашифровать, да еще и с возможностью того, чтобы сам пользователь мог влиять на алгоритм шифрования? Это интересно, но там где используется шифрование, на которое может повлиять пользователь, надо разбираться хотя бы в основах компьютера. У новичка могут возникнуть с этим затруднения. Приходится максимально упростить это самое влияние на шифрование, поскольку это всего лишь очередная подножка тем, кто будет пытаться разгадать ваш пароль. Поэтому я придумал шифрование пароля и мд5 хеша, на основе имени файла qip.exe. Если вы переименуете файл qip.exe, к примеру на qip1.exe, то этим вы повлияете на процесс шифрования и расшифрования пароля и md5 хеша (очень важно, что если вы снова переименуете qip1.exe в qip.exe, то все до этого сохраненные пароли и md5 хешы работать не будут, потому что они неверно расшифровались). Злоумышленникам для этого еще придется собирать весь список запускаемых файлов, чтобы хоть как-нибудь попытаться расшифровать украденные данные.

Что это дает в конечном итоге:
Это подножка к разгадыванию вашего пароля злоумышленниками.

Что касается параметра /cryptpass .
Он сообщает QIP, что надо использовать только md5 хеш и не сохранять пароль. Будьте внимательны, если вы один раз запустите QIP с этим параметром, то все сохраненные пароли заменятся на md5 хеши и если вы запустите QIP без параметра /cryptpass, то вам придется вводить пароли заново.
Важный момент. Если вы решили воспользоваться также вторым вариантом "подножки" к разгадыванию пароля, то очень важно, чтобы вы не запускали новый qip.exe до того момента пока не переименовали его в тот самый файл, который будете использовать постоянно. Иначе пароли от всех учетных записей придется вспоминать и вводить заново.

Если я допустил какие-либо неточности или ошибки в этом пояснении, то поправьте меня.
================================================== ======

Для справки:
Параметры командной строки можно указывать в свойствах ярлыка QIP.
К примеру, в ярлыке указан путь к программе C:\QIP\qip.exe. Добавляете туда параметр, чтобы это выглядело так C:\QIP\qip.exe /cryptpass

Взято отсюда:
http://forum.qip.ru/showthread.php?t=12050