J'utilise JASYPT pour le décryptage du chiffrement des mots de passe dans notre logiciel Java. Voici comment, nous chiffrons le mot de passe:Stocker les clés de chiffrement dans le code Java?
StrongTextEncryptor textEncryptor = new StrongTextEncryptor();
textEncryptor.setPassword(PASSWORD_ENCRYPTION_KEY);
String ePasswd = textEncryptor.encrypt(txtPasswd);
Maintenant, où et comment dois-je conserver ce PASSWORD_ENCRYPTION_KEY utilisé dans le code ci-dessus? Quel est le moyen le plus sûr ou commun de stocker et d'accéder à ces clés dans le programme Java?
Merci, profonde
L'endroit le plus sécurisé serait "pas sur l'ordinateur de l'utilisateur". – millimoose
Vous pouvez lire http://ronrothman.com/public/leftbraned/password-security-its-not-that-hard-but-you-still-cant-get-it-right/. Si votre logiciel stocke les mots de passe de telle sorte que vous puissiez les récupérer, alors vous faites quelque chose de mal, même si vous les dissimulez avec le cryptage, et surtout si vous stockez la clé de cryptage avec les données cryptées. –
quel type de mot de passe y stockez-vous? si c'est un mot de passe utilisateur, allez avec des hachages salés comme James Clark l'a suggéré ... sinon, cela dépend du contexte de ce mot de passe – DarkSquirrel42