JAAS & sécuriser fichier de données
JAAS & sécuriser fichier de données - Java - Programmation
Marsh Posté le 22-11-2009 à 11:18:01
Si tu n'as pas besoin de relire un pass entré je te dirai de ne stocker que leur signature (hash md5 par exemple ou en le modifiant pour qu'il soit plus difficile de le casser) comme on fait pour les forums par exemple.
Après si tu veux pouvoir relire un pass en clair pour par exemple le redonner à l'utilisateur là ça devient plus complexe déjà.
Marsh Posté le 23-11-2009 à 00:01:52
Je vote pour la même suggestion que Deamon.
Tu connais certainement le fichier /etc/passwd sous Linux. Il ne stocke plus les mots de passe mais uniquement les hash de ceux-ci. Quand l'utilisateur entre un mot de passe, on calcule son hash et on le compare à celui stocké dans le fichier.
Le hash est un algorithme à sens unique, on ne peut donc pas retrouver un mot de passe à partir de son hash donc on préserve la confidentialité des données. Et on n'en a pas besoin: en cas d'oubli du mot de passe, on en génère un nouveau et on offre à l'utilisateur la possibilité de le changer.
Marsh Posté le 23-11-2009 à 00:08:45
Comme algorithme de hash je te conseille le SHA qui est plus robuste que le MD5 et disponible en standard en Java.
Sujets relatifs:
- Transfert Fichier Texte dans ACCESS depuis vba Excel
- [excel2003] sources de données externes
- batch sftp pour recuperer fichier et envoi mail
- sauver fichier complet du presse-papiers sur le disque dur
- [SQL Server 2000] : fichier de sortie "horodaté" (travail)
- suppression doublons dans fichier texte
- requete SQL avec effacement du fichier concerné ?
- Manipulation basique de fichier texte a l'aide de Perl
- Problème fichier de configuration hibernate
- arbre binaire/fonction recursif/lecture fichier
Marsh Posté le 12-11-2009 à 14:03:10
Bonjour tout le monde,
Alors je suis en train de faire un projet et on me demande après avoir réaliser le tutoriel suivant : http://java.sun.com/javase/6/docs/ [...] nOnly.html , de modifier le fichier SampleLoginModule.java (http://java.sun.com/javase/6/docs/technotes/guides/security/jaas/tutorials/SampleLoginModule.java) afin qu'il puissent lire dans un fichier le nom et les passwords de personnes de façon sécurisé.
De façon condensé, on me demande de récupérer dans un fichier de donnée le nom et password d'utilisateurs tout en respectant la confidentialité et l'intégrité des password stockés dans le fichier.
Ma question est la suivante : Quels sont les mécanismes de sécurité à implémenter pour satisfaire à la fois la confidentialité et l'intégrité des password??
Je pensais à crypter le fichier mais je ne sais pas s'il vaut mieux utiliser dans ce cas précis un cryptage symétrique ou asymétrique!? et est ce que c'est suffisant pour satisfaire toute les exigences demandées?? Il faut certainement créer un contrôle d'accès au fichier de tel façon qu'il ne puisse être effacé?? Quel est la meilleur façon de faire?? Sachant que je pense que juste restreindre les droits d'accès au fichier ce n'est pas sécurisé de façon optimale (enfin je sais pas trop!) l'accès?? Peut être il y a qu'il y d'autres façons de faire!?
Merci d'avance.
ps : je cherche juste des réponses (ou indices) théoriques ou des liens, tuto qui peuvent m'aider, je ne demande pas qu'on code à ma place, ça j'essaierai de le faire ... si j'y arrive