Я изучаю Jasypt для хранения зашифрованных паролей паролей в файлах свойств. Он имеет хорошую интеграцию с Spring и т.д., но подход, что эти ребята предлагают для шифрования пароля выглядит немного странно, как для меня:Java: что является лучшим вариантом для хранения зашифрованных баз данных (и других) паролей в файлах свойств?
Используйте PBE (симметричный алгоритм) шифрование.
Хранить пароль для шифрования/дешифрования в переменной окружения или в исходном коде.
Оба варианта выглядят небезопасными и немного небезопасными.
Мои вопросы:
- Что является лучшей практики для хранения зашифрованных паролей?
- Могу ли я использовать шифрование на основе ключа (например, частные/открытые ключи)?
http://security.stackexchange.com/questions/211/how-to-securely-hash-passwords salt + hash + использовать признанные алгоритмы. – assylias
@assylias Как хеширование пароля поможет с паролем jdbc? AFAIK Мне нужен незашифрованный пароль для драйвера jdbc. Такая же ситуация может возникнуть при использовании сторонних служб, где вы должны аутентифицироваться по имени пользователя/паролю. – FoxyBOA
Я неправильно понял ваш вопрос. – assylias