Sikkerhet ved lagring av passord i applikasjon

[xibriz]

Jeg vurderer å lage en java applikasjon som skal ta imot og lagre passord fra ett tredjeparts program i en kort periode.

 

Er det noen sikkerhetsmessige problemer ved dette? Kan passordene bli 'compromised' på noen måte?

[BlueEAGLE]

Skal du validere om et gitt passord stemmer mot et tidligere gitt passord, eller trenger du å formidle passordet videre?
I det første tilfellet så ønsker du å lagre en saltet hash av passordet, og validere hash mot hash for å se om passordet stemmer. Hvis du skal gi passordet videre så trenger du en reverserbare kryptering under lagringen.

Alle steder hvor passord blir lagret er en sikkerhetsrisiko.

[xibriz]

Jeg har en web applikasjon som trenger å gjenbruke brukernavn og passord flere ganger etter at brukeren har logget inn.

 

Lang historie kort, jeg bruker flere 3. parts systemer som ikke støtter persistent connection mot PHP.

 

Jeg prøver å finne den sikreste måten å håndtere dette på.

 

Framgangsmåten er grei, jeg må kryptere brukernavn og passord med en nøkkel. De krypterte strengene bør holdes avskilt fra nøkkelen.

 

Det som var tanken er om det er sikrere å lagre nøkkelen eller de krypterte strengene i en kjørende java-applikasjon (der all info dør dersom den blir avsluttet) også lagre nøkkelen i sesjon eller en cookie, kontra å lagre de krypterte strengene i sesjon og nøkkelen i cookie.