Làm cách nào để lưu trữ và truy xuất bằng chứng xác thực từ trình quản lý thông tin xác thực của Windows Vault?

Question

Tôi muốn lưu trữ mật khẩu rõ ràng trên Windows PC một cách an toàn. Tôi hiện đang sử dụng DPAPI CryptProtectData để mã hóa nó, sau đó lưu trữ các đốm màu được mã hóa trong một tệp trong AppData cục bộ của người dùng.

Trong Windows 7, có Windows Vault, trình quản lý thông tin xác thực (Control Panel \ User Accounts và Family Safety \ Credential Manager) lưu trữ dữ liệu đăng nhập cho nhiều loại đăng nhập, bao gồm "chứng chỉ chung". Trên bề mặt, điều này có vẻ như là nơi thích hợp cho một chương trình lưu trữ thông tin đăng nhập. Tuy nhiên, tôi không thể tìm thấy bất kỳ API nào cho nó. Tôi đọc tài liệu tham khảo Authentication function trong MSDN, nhưng thẳng thắn bị lạc trong đó.

Có API cho Windows Vault để lưu trữ và truy xuất thông tin đăng nhập từ chương trình hay không và nếu có, tôi có thể tìm tài liệu ở đâu?

Answer 1

Rất cám ơn @Luke vì gợi ý: Chức năng API Windows để lưu trữ thông tin đăng nhập và đọc chúng từ Windows Vault là CredWrite() và CredRead(). Đây là một mẫu mã có thể được biên dịch và chạy, mà tôi sử dụng để xác nhận rằng các chức năng này thực sự làm điều mong đợi:

#include <windows.h> 
#include <wincred.h> 
#include <tchar.h> 
#pragma hdrstop 

void main() 
{ 
    { //--- SAVE 
     char* password = "brillant"; 
     DWORD cbCreds = 1 + strlen(password); 

     CREDENTIALW cred = {0}; 
     cred.Type = CRED_TYPE_GENERIC; 
     cred.TargetName = L"FOO/account"; 
     cred.CredentialBlobSize = cbCreds; 
     cred.CredentialBlob = (LPBYTE) password; 
     cred.Persist = CRED_PERSIST_LOCAL_MACHINE; 
     cred.UserName = L"paula"; 

     BOOL ok = ::CredWriteW (&cred, 0); 
     wprintf (L"CredWrite() - errno %d\n", ok ? 0 : ::GetLastError()); 
     if (!ok) exit(1); 
    } 
    { //--- RETRIEVE 
     PCREDENTIALW pcred; 
     BOOL ok = ::CredReadW (L"FOO/account", CRED_TYPE_GENERIC, 0, &pcred); 
     wprintf (L"CredRead() - errno %d\n", ok ? 0 : ::GetLastError()); 
     if (!ok) exit(1); 
     wprintf (L"Read username = '%s', password='%S' (%d bytes)\n", 
       pcred->UserName, (char*)pcred->CredentialBlob, pcred->CredentialBlobSize); 
     // must free memory allocated by CredRead()! 
     ::CredFree (pcred); 
    } 
} 

Một chứng chỉ chung được lưu trữ trong Windows Vault, như có thể được nhìn thấy trên ảnh chụp màn hình:

Answer 2

Nếu bất cứ ai quan tâm đến việc đọc và viết để nó từ PowerShell hoặc C#, đây là một liên kết đến một kịch bản nào đó:

PowerShell Credentials Manager: CredMan.ps1

Tập lệnh PowerShell truy cập API thông qua nội tuyến C# sử dụng Pinvoke.

Answer 3

Đối với những người tham gia thread muộn, có một thư viện mới để tương tác với cửa hàng này trong Windows 8 được gọi là: Windows.Security.Credentials.PasswordVault

Trong thực tế nó chỉ mất hai dòng PowerShell để sử dụng lớp để xem tất cả các tên người dùng và mật khẩu được lưu trữ trong tài khoản người dùng hiện tại:

[void][Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRuntime] 
(new-object Windows.Security.Credentials.PasswordVault).RetrieveAll() | % { $_.RetrievePassword(); $_ }