Eine Frage der Konzeption: Konfigurationsdateien mit Passwörtern und Benutzername?

[TheGreenDragon]

Hallo,

ich hab da mal eine Frage wie man am besten mit sowas umgeht.
Also zurzeit hab ich eine XML Datei wo Benutzername und Passwort für eine Datenbank hinterlegt sind, damit ich diese dann später einfach und ohne in den Java-Quellcode gehen zu müssen ändern kann. Nun ist aber so eine XML-Datei auch wenn sie in meinem Web-Service liegt, doch für jeden einsehbar oder?

Kann man und sollte man sowas vielleicht verschlüsseln? Oder wie geht man mit sowas um?

Gruß
'GreenDragon'

 

[Supa]

Hy,

im Grunde erzeugt man von so nem Passwort ein Hashwert und speichert nur diesen. Dann ist es egal wenn jeder die Datei einsehen kann, da Hashwerte nicht "rückwärts rechenbar" (verdammt... mir fällt gerade das Wort dafür nicht ein...) sind.

mfg Supa

 

[TheGreenDragon]

Hallo,

und Danke für deine Antwort. Sag mal gibts dazu auch ein Tutorial?

Mit besten Grüßen

 

[Supa]

Mit Sicherheit gibt's da auch Tutorials.

Ich kenn gerade keins. Versuch's mal mit Google: "sha java example" oder so...

mfg

edit:
oder versuch's mal über die Forensuche -.-

 

[TheGreenDragon]

Hallo,
also wenn ich den Hash-Wert nun hab bringt mich das doch wohl auch nicht viel weiter oder?
Wenn ich nun den Benutzernamen oder Passwort ändern möchte, dann müsste ich doch wieder in meinen Java Quellcode gehen, dort den neuen Hashwert für die Prüfung eingeben und bzw. erst berechnen lassen damit ich in der XML das speichern kann, oder?

 

[Supa]

In der Tat, Du musst nen neuen Hash Wert für das neue PW berechnen und den dann speichern.

Sonst fällt mir da jetzt auch nichts ein. Wenn Du die Passwörter wirklich mit nem einfachen Texteditor öffnen und bearbeiten können willst, bleibt Dir wohl nichts anderes übrig, als sie im Klartext zu belassen. Dann kann sie jeder Benutzer mit zugriff auf die Datei, einsehn.

Wenn du die Datei verschlüsseln würdest, müsstest du sie zum bearbeiten ja auch vorher entschlüsseln. Das das jetzt die bessere Alternative ist, würd ich nicht sagen...

mfg

 

[TheGreenDragon]

Hallo,
das mit den Hashwerten ist ja im Grunde eine tolle Sache, aber doch leicht mit einer bruteforce Attacke knackbar oder?

Hab mir nun eine doppelte Verschlüsselung überlegt, wobei mindestens einer der Schlüssel im Quellcode liegen darf. Vielleicht auch beide, da ich im Quellcode nun kein Vergleich mehr anstelle möchte sondern einfach mit den entschlüsselten Daten ein Login machen will. Also:

Passwort + Schlüssel = Salat
Salat + Schlüssel2 = Salat2

oder hat jemand einen anderen Vorschlag. Wie gesagt ein Vergleich wird im Quellcode nichtmehr gemacht sondern entschlüsselt und damit eingeloggt.

Was jemand welche Klasse von Java dafür in Frage kommen könnte?

mfg

Edit: Natürlich könnte ich auch aus Passwort + Schlüssel = Hash und dann Hash + Schlüssel oder Hash + Schlüssel2 = Hash2 machen aber dann ich das ja nicht mehr entschlüsseln, oder?

 

[pizza1234]

Hi,
das nennt sich dann Salt! http://de.wikipedia.org/wiki/Salt_(Kryptologie)

Vielleicht findest du hier was Passendes: Insel

Grüße,
Peter

 

[Oliver Gierke]

Wie wärs mit dem Encodingsupport DER Java Security API schlechthin?

http://static.springframework.org/s...urity/providers/encoding/PasswordEncoder.html

Gruß
Ollie

 

[TheGreenDragon]

Moin,
jo das Insel Beispiel ist schon nett. Doch kann mir einer verraten warum das Passwort nur max 8 Zeichen lang sein kann? Wenn ich mehr als 8 Zeichen eingebe schmeisst der mir eine Exception? Aber ansonsten ganau sowas hab ich eigentlich gesucht. Doof nur, dass DES knackbar ist... dabei ist das Beispiel so schön...