16
我有一個java的屬性對象與Web服務的身份驗證信息。 我需要加密該數據,但我不知道需要存儲加密密鑰的位置才能保持安全。如何在java中安全地存儲加密密鑰?
加密這些數據並以安全的方式檢索它的最佳做法是什麼?
使用密鑰庫有什麼好處嗎?
ws_user=username
ws_password=password
ws_url=https://www.whatever.com/myservice
A
回答
5
您的問題是常見的問題。在Linux中,用戶密碼存儲在純文本文件中。儘管只存儲了密碼哈希值,但如果攻擊者能夠訪問該文件,他將不會花費很長時間才能使用脫機字典攻擊發現某個密碼。在這種情況下,操作系統依賴文件權限拒絕未經授權的用戶訪問。在你的情況下,它沒有太大的不同。您必須正確配置密碼文件權限並確保服務器的物理安全性。
+0
我遇到了客戶的安全策略需要在配置文件中加密用戶名/密碼的情況。這看起來很愚蠢,但我想我會在這裏檢查一下,看看我是否錯過了一些東西。 – ScArcher2
4
這是一個雞蛋問題。
然後,您將需要找到在哪裏存儲的密碼和密鑰庫等等.....
根據您的安全要求和需要,你可以使用對稱加密enrypt數據和找回密碼通過遠程服務器(您的服務器)使用客戶端證書認證。
或者您可以使用對稱加密來加密數據,並在您的jar中將密碼硬編碼,這是不安全的,但需要一些努力才能找到它,您可以將責任委派給文件系統權限誰可以訪問您的文件。
0
我已經成功使用Jasypt的StringEncrytor來加密屬性文件中的敏感信息和一些內部生成鹽和檢索密碼的內部程序。由於您使用的是Web服務,因此您可以使用Jasypt的Web PBE Configuration在部署時手動輸入密碼,甚至可以推出自己的類似解決方案。
+0
你好,你使用過Web PBE配置嗎?我認爲它可以解決egg-egg問題(總是需要一個主密鑰來加密文本)。它是如何設置的?我有點困惑。謝謝您的幫助! V. – Viktor
4
底線是某處需要以未加密的形式擁有「root-of-the-chain」密碼。受OS保護的本地文件,在源代碼中硬編碼的受OS保護的遠程文件等。
唯一的解決方法是要求人在應用程序啓動時鍵入初始密碼,這顯然是不可能的用於需要自動啓動的應用程序。
相關問題
- 1. 如何在android中安全地存儲加密密鑰?
- 2. 如何在C++中安全地存儲AES加密密鑰?
- 3. 如何安全地在.Net中存儲加密密鑰?
- 4. 如何安全地存儲密鑰?
- 5. 在DefaultConfiguration中存儲加密密鑰是否安全?
- 6. 如何在iPhone上安全地存儲AES密鑰
- 7. 如何安全地存儲加密密碼
- 8. 安全的地方存儲API祕密密鑰
- 9. 解密存儲Java密鑰存儲
- 10. 如何安全地存儲應用程序ID /密鑰?
- 11. 安全地在Android設備中存儲AES密鑰
- 12. 如何在JSONStore中存儲加密密鑰/密碼
- 13. Android的安全存儲密鑰
- 14. 密鑰容器,足夠安全地存儲私鑰?
- 15. 安全地存儲用於生成對稱加密密鑰的字符串
- 16. 安全地檢索密鑰
- 17. 沿着加密的AES密鑰存儲密碼哈希的安全隱患
- 18. 使用DPAPI安全加密密鑰
- 19. 如何使用.Net(C#)在Windows中安全地存儲AES密鑰?
- 20. 如何在.NET中存儲加密密鑰
- 21. 在iPad/iPhone上的用戶會話期間安全地存儲安全密鑰?
- 22. Android的密鑰存儲提供商 - 如何存儲密鑰
- 23. 存儲密鑰和密碼的安全方法,用於asp.net
- 24. 如何安全地將密碼存儲在文件中?
- 25. 在Java HashMap中存儲兩次「密鑰」?
- 26. 在ASP.Net應用程序中安全地存儲(加密)數據
- 27. 存儲密鑰
- 28. oracle存儲過程加密密鑰
- 29. AES加密和密鑰存儲?
- 30. 如何在反應原生客戶端安全地存儲密鑰?
好像我的應用程序需要訪問密鑰,沒有辦法「保護」它。如果我將它存儲在密鑰庫中會更加模糊,但它似乎並不安全。我希望我錯了:) – ScArcher2
這聽起來最終像一個引導問題。在鏈中的某一點,你必須有一個密鑰來解密某些東西。即使您使用密鑰庫,您也需要該密鑰庫的密碼。你有沒有辦法改變你的認證方案? 另外,如果你問那裏,你可能會在http://security.stackexchange.com/上得到一些非常有見識的回覆。 – mcfinnigan
@mcfinnigan這就是我的想法。我只是想看看是否有解決問題的辦法。 – ScArcher2