寻找有关如何在客户端计算机上存储加密数据库密码的新想法

Question

我所在的项目团队正在维护一些遗留的 VB6 应用程序。这些应用程序安装在全球 600 多个客户中，其中大部分位于美国。这些应用程序都连接到数据库后端，但问题是 SQL 登录 ID 和密码是硬编码在应用程序内部的。在这些项目中，我们使用 ODBC API 连接到数据库。

我们想要做的是为用户提供一种设置自己的 SQL 登录 ID 密码的方法。我们曾考虑过使用 Active Directory 身份验证，但我们放弃了这个想法，因为用户可以使用 MS Access/Excel 或 Crystal Reports 连接到数据库。

我们目前正在研究将加密的登录 ID 存储在 INI 文件或注册表中的想法，但我们根本不喜欢这些解决方案。我们正在考虑使用证书，但我认为我们将遇到与 AD 身份验证相同的问题。

因此，请让我们听听您的想法，无论它们有多么奇怪和古怪。

Answer 1

为什么不将用户名和密码存储在 ini 文件中。使用带有加盐功能的对称密钥加密（如 AES），然后对结果进行 Base-64 编码。您可以从 Random.org 生成真正的随机密钥。如果您选择这条路线，我可以提供一些帮助。