在C源代码中加密密码

Question

有没有办法在编译的应用程序中很难找到静态密码？

我需要两种不同的应用程序。一个是Windows的轻量级FTP客户端，只能连接到一个硬编码服务器。另一种是Objective C游戏，它允许用户创建级别包并使用密码来保存它们。他们可以在没有密码的情况下播放，但不能在关卡编辑器中打开。我用AES加密密码，但我必须以某种方式保存解密密码。

我迄今发现的唯一想法是将密码保存为一个字符串，而不是一个字符串，而是多个字符串。这对于游戏来说可能非常有用，因为我可以只连接已经存在的字符串。或者我可以将它保存为一个长字符串并使用秘密算法从该字符串中获取密码 - 尽管这引出了一个问题：Windows上的C应用程序或OS X上的Cocoa应用程序是否可以反编译以找到该算法？

有没有更安全的方法来做到这一点？

Answer 1

即使在编译的C源代码中，字符串文字通常也会保留并存储在二进制文件的某个位置。

你可以做什么是一个类似的方法，以（如何正确实施）Web应用程序验证登录信息，该信息存储在数据库中。只需以散列形式存储密码即可。通常，该方法是使用MD5 +盐（here is a description and some sample PHP code）。您可以做的不是传输或存储明文密码，而是散列用户输入，并根据存储的散列值检查散列值。匹配哈希对应于匹配的密码。

编辑

这不会与FTP服务器的情况下帮助不过，因为你不能修改其源代码

Answer 2

可以在Windows的C应用程序或Cocoa程序在OS X只需反编译找到该算法？

是的，所有人造的都可以被另一个人破坏。 永不使用可逆算法存储敏感数据 - 他们将被反向工程。您可以存储的哈希值，作为sidran32写道，但它并不能帮助你与客户

Answer 3

为什么要通过反编译的痛苦 - 一个简单的

$strings <binary> 

将做到这一点:)在代码存储你的密码永远不会工作：您可以拆分它们，对它们进行编码，以任何您喜欢的方式对它们进行加密 - 当您需要重新组装这些零件以验证它们时，会有一点意义。这正是攻击者可能会用调试器进入的地步。我给了一个answer一个类似的问题与更多的细节。

唯一真正安全的方法是将密码作为带外信息存储在代码之外（或二进制文件）。数百万破解的微软或其他产品可以证明这些类型的数字版权管理不会长时间工作。