我知道可以使用以下方法来编程验证用户的Windows (例如域)凭据:
现在我想保存这些凭据。我正在使用数据保护API(通过CredUI API),对密码进行加密。这意味着只有用户本身才能访问加密数据。我的程序作为用户运行,然后可以解密受保护的数据。
但这也意味着一个恶意程序作为用户运行时可以解密受保护的数据,窃取用户的加密凭据。
我知道Windows本身不存储用户的
是否有API可以让我在知道密码的加盐哈希值时询问Windows用户的密码是否有效?
但这也意味着一个恶意程序作为用户运行时可以解密受保护的数据,窃取用户的加密凭据。
我知道Windows本身不存储用户的
password
。他们存储的是密码的加盐和哈希版本,并形成用户与Windows之间的“共享秘密”。是否有API可以让我在知道密码的加盐哈希值时询问Windows用户的密码是否有效?