Discussion :

[SebastianPx]

Bonjour,

je vais vous faire part de mes interrogations / idées, étant à la recherche d'idées et d'avis.
J'ai une application java, avec un fichier properties contenant différents mot de passe pour des bases de données. Il faut que de nouveaux mots de passes puissent etre ultérieurement générés.
J'ai encrypté ces mots de passe avec jasypt.
Le problème que je rencontre, c'est que le mot de passe de decryptage, il faut bien que je le stocke quelque part.

Je pensais donc faire ca de la maniere suivante :
- Faire un petit jar, contenant dans le code source le mot de passe de decryptage, et permettant de generer des mots de passe crypté.s
Ce programme ne serait accessible qu'à un nombre restreint de personnes.
- Dans mon application principale (accessible a tout le monde ), demander en parametre le mot de passe de decryptage, puis, s'il est juste, autoriser le programme a decrypter les informations du fichier properties,
et donc avoir accces aux bases de données.

Mes connaissances en sécurité informatique étant plus que limités, je voulais avoir votre avis par rapport à ca (complètement abbérant, il y a mieux, etc )

Merci d'avance !

Cordialement

[Marco46]

Bonjour,
Faire un petit jar, contenant dans le code source le mot de passe de decryptage, et permettant de generer des mots de passe crypté.s
Ce programme ne serait accessible qu'à un nombre restreint de personnes.

Inacceptable d'un point de vue sécurité. N'importe qui peut décompiler le jar et le .class pour obtenir le mot de passe.

On ne met jamais rien en dur dans son code, c'est le mal absolu, pire que Sauron ou Dark Vador.

Tu peux tourner la sauce dans tous les sens, mais à un moment ou à un autre il faudra bien que ton utilisateur saisisse un mot de passe.