Adstaker: Se me ocurre el siguiente esquema.
Un servicio, de comunicación estándar, con un protocolo propio. (Servicio de Seguridad) Este servicio bajo un TCP-IP con los siguiente comandos. AUTH donde envías tu KEY(User+IP+Dominio+lo que necesites). Este responde con una Clave valida y la Ip del servicio de DB que necesitas. RESP 3DES(Key Valida en el Servidor)+ IP del Servidor+La base a la que tiene acceso. Con esto todas tus aplicaciones pasan por este servicio para hacer la petición. No importaria(Plataforma, Maquina, SO) serian independientes, por lo tanto genera la solicitud si no tiene acceso al servicio nunca obtendra una clave. Este servicio lo adornas con una interface grafica, y podria ingresarse las contraseñas a travez de este sistema en dos terminales diferentes una vez completas la dos mitades recien el sistema se pondria a funcionar con esto nadie sabe la contraseña completa solo el sistema. El administrador estaria encragado de habilitar y deshabilitar terminales o usuarios. Sin tener un real acceso a la base de datos solo podria tener acceso a la base de permisos, puedes habilitar un sistema de bloque que si cualquiera de la personas que se encargan de una parte de la contraseña se vuelve riesgosa bloqueas todo hasta una nueva validacion, con esto tus clientes son independiestes de las contraseñas reales. El esquema quedaria mas o menos asi. (Sistema Cliente) ==(KEY)==> (Sistema de Seguridad) \\ <==(KEY3DES)== \\ (KEY EN DURO) \\ (SGDB) Realmente la clave no la ve nadie, es solo visible para la apliacion en tiempo de ejecucion, Debes otorga un medio para que las aplicaciones puedan descifrar la contraseña antes de conectarse. Si necesitas mas seguridad este medio haz lo cerrado, en una librería. esta libreario le otorga la conexión, al sistema cliente, pero sigue el proceso anterior, para obtener una clave que tampoco nadie sabrá. Wladimir A. Jiménez B.