.NET桌面应用程序记住登录到webservice

Question

我正处于.NET桌面应用程序的计划阶段，该应用程序将与Web服务进行通信。 Web服务需要一个用户名和密码，这种应用程序的一个共同特点是保存下一次登录的用户凭据（只是一个简单的“自动登录”复选框）。

我想到了实现这一点的几种方法，但我不确定最安全的方式是什么。如果它被加密存储在一个文件中（并且可能有人邪恶地将该文件复制到他们自己的机器上并因此以原始人身份登录），或以某种方式在注册表中注册（我之前没有做过任何注册表工作，它是否安全并且会这行得通）？有没有其他的选择我可能没有想到？

（编辑澄清：应用程序将在互联网上提供，所以用户将在自己的机器上运行这个程序 - 虽然我知道在安全性方面存在一定的临界点，因为我不能坚持人们使用防火墙和反恶意软件程序，我想使它至少有点难以让某人获得未经授权的访问。）

Answer 1

Windows有安全地存储用户凭证的功能。我发现这篇文章是最好的：http://blogs.msdn.com/peerchan/pages/487834.aspx

Answer 2

我无法想象为什么有人会尝试查找密码，当他或她可以登录而无需输入密码（因为你自动完成它）。我错了吗？

顺便说一句，请确保您使用https进行通信。

Answer 3

加密是要走的路。我对内部使用的应用程序做了同样的事情，该应用程序在XML文件中加密了用户名和密码。

对于想要将文件复制到另一台机器的人，可以执行诸如连接机器名称和IP地址（以及任何其他相对唯一标识机器的属性）并将该字符串作为已保存凭证文件的一部分加密。

然后，当你的应用程序重新读取该文件来处理登录，如果它执行相同的机器名称/ IP地址/ etc加密它正在运行，但提出了一个不同的哈希存储在文件，您的应用程序会知道该文件已被复制到不同的机器，它可以放弃它，并提示输入登录详细信息。

Answer 4

如果您可以存储凭据并稍后检索它们，则其他人也可以检索凭据。

如果您仍然想要记住凭据的功能，建议将它们存储在用户随身携带的USB记忆棒上。通过这种方式，如果计算机存在，证书不会受到威胁。 （除非USB棒当时连接到计算机）。

Answer 5

数据未从外部加载（例如：解密文件的密码）的客户端软件存在问题。

你可以尝试做的，是使用RSA密钥，密钥被包含的数据是唯一到他们当前加载的用户配置文件（只能使用同一台机器上相同的用户配置文件很容易地获得对信息进行加密）并将散列存储在注册表中。

在这种情况下，注册表就像是一个文件给你，只是你可以尝试使用它的用户不那么透明。

Answer 6

我asked（和随后answered）一个非常类似的问题，而回来。这样做的目标方法是使用ProtectedData类，其中包括一个选项，用于添加基于当前用户加密的加法。

byte[] dataToEncrypt = new byte[] { ... }; 

// entropy will be combined with current user credentials 
byte[] additionalEntropy = new byte { 0x1, 0x2, 0x3, 0x4 }; 

byte[] encryptedData = ProtectedData.Protect( 
    dataToEncrypt, additionalEntropy, DataProtectionScope.CurrentUser); 

byte[] decryptedData = ProtectedData.Unprotect( 
    encryptedData, additionalEntropy, DataProtectionScope.CurrentUser);