Plusieurs niveaux de protection des mots de passe sont disponibles dans WINDEV. On fait le point sur ce que chaque méthode protège.

1 – Protection des mots de passe dans le code source :

C'est à la charge du coffre fort à mot de passe. Cette fonctionnalité permet de ne pas afficher dans le code source du projet les mots de passe importants (Base de données, client-secret, mot de passe de compte Webservice, etc…). Les fonctions du WLangage qui attendent en paramètre une chaine contenant un mot de passe peuvent utiliser une chaine secrète. Cette chaine secréte est stockée dans un coffre fort dont l'accès nécessite lui-même un mot de passe.

Ainsi, quelqu'un qui lit ou exécute le code source sans le mot de passe du coffre fort n'a pas accès au contenu des chaines secrètes.

2 – Protection des mots de passe dans l'exécutable :

C'est un second niveau de protection, celui-ci concerne la protection de votre exécutable. Les mots de passe utilisés dans l'application peuvent être stockés dans des chaines indétectables. Ces mots de passe sont stockés dans l'exécutable de manière sécurisée et ne peuvent pas être récupérés en traçant ou décomposant l'exécutable. Seule la fonction qui utilise ce mot de passe peut le connaitre au moment de son exécution.

3 – Protection des mots de passe des utilisateurs stockées dans la base de données :

C'est un troisième niveau de protection. Les mots de passes sont stockés dans une rubrique de type mot de passe sécurisé. Le contenu stocké dans la base de données n'est pas le mot de passe mais le résultat d'un salage, hashage du mot de passe. Il est dans ce cas impossible de connaitre le mot de passe à partir du contenu du fichier. On peut simplement vérifier que le mot de passe saisit donne le même résultat avec le même salage et hashage.

Bien sûr les 3 niveau de sécurité peuvent être combinés et c'est même fortement conseillé. Par ailleurs, les chaines secrètes sont également des chaines indétectables.