我正在写一个.NET(C#)的Windows应用程序来存储用户密码,如keypass,lastpass,roboforms等。
为了处理用户数据,我必须将其保存在内存中,这个数据还包含用户的密码。
现在我的问题是:
谢谢
是的,有一些工具可以捕获所有物理内存(和页面文件)供进一步调查。 他们被称为“法医”,你可以找到一些通过添加这个关键字到您的搜索。 如果你想在你的代码中捕获内存(也就是自己编写这样的程序),使用我们的RawDisk产品是可能的。
至于保护你的密码,Kobi提到了SecureString类,它应该在内存中安全地存储字符串。 虽然这个类不是100%的保护(当你使用它的时候密码是解密的),但是使得密码捕获的可能性要小得多。
你的担心是正确的,记忆中的字符串是不安全的。
您可能正在寻找SecureString类。
如果你担心有人窥探内存的密码,那么你有更重要的问题。 如果恶意用户可以访问RAM,那么将键盘记录器放到机器上,或绕过在软件中使用密钥,或者在密钥被解密后拦截密钥,都是微不足道的。 等等
一般的规则是,如果有人可以访问机器,那么它的游戏安全明智。
我建议探索Keepass (2.xx版本)的源代码。 它是用.NET编写的,它处理你关心的同样的问题。
我的经验在安全方面是有限的,但我希望这将是有益的