Re: [java-list] Password

[Samuel Yuen]

Paulo,   o que exatamente voc� n�o pode gravar no .class? A senha? O que voc� poderia estar fazendo seria utilizar um algoritmo de criptografia para cifrar a senha antes de grav�-la no arquivo e decifr�-lo ao efetuar a conex�o com o banco de dados. Claro que n�o poderia ser um algoritmo f�cil de ser descoberto, voc� poderia ofuscar a classe para dificultar um pouco as coisas.   Algo mais sofisticado seria usar um algoritmo que use chaves sim�tricas e al�m de guardar a chave usada no .class, guard�-la tamb�m em um local seguro para ser usada sempre que a senha for trocada. O uso de chaves assim�tricas n�o traz nenhuma real vantagem, fora a desnecessidade de grande seguran�a para guardar a chave a ser usada para cifrar a palavra.   Bem, tudo isso n�o vai te proteger totalmente, nada impede que um bom conhecedor de Java decompile a sua classe e descubra como funciona o mecanismo, mesmo que ela esteja ofuscada (para tal esfor�o provavelmente seria algu�m mal intencionado). Mais do que uma criptografia, � necess�ria uma pol�tica de seguran�a, que impe�a o acesso ao sistema nos n�veis de hardware e software e que tamb�m involva as pessoas da empresa.   Samuel   ----- Original Message ----- From: [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Friday, May 10, 2002 10:01 AM Subject: Re: [java-list] Password ola ALL, Obrigado pela ajuda. O meu problema � que preciso gravar a senha de acesso ao banco em um arquivo .properties por exemplo. Pois minha aplicacao lera desse arquivo para conectar ao banco. Isso que vc falou est� correto para os demais usu�rios, mas e o user que se logar� no banco como proceder? Eu nao posso deixar gravado dentro do .class, pois trata-se de uma aplicacao comercial, entao como fazer? Quero pegar a senha, criptografa-la, grava-la em um .properties, e quando precisar acessar o banco, ler o arquivo, descriptografar a senha, autenticar  no banco. Caso vc tenha QUALQUER ajuda/exemplo agrade�o muito. "Valeu ;) " Atenciosamente PAULO BRANCO DIRETIVA DIGITAL Garante sim. A fun��o hash funciona assim: Dado um texto de entrada, uma sa�da � gerada. A partir da sa�da, � imposs�vel se chegar novamente ao texto da entrada. Mas dada a mesma entrada, a mesma sa�da � gerada. Se vc aplica essa fun��o na senha do usu�rio quando o est� cadastrando ou trocando de senha, o que fica guardado � essa sa�da, que n�o significa nada para ningu�m que venha a pegar esse arquivo. Quando o usu�rio vai logar, vc aplica a fun��o na entrada dele e, se bater o resultado com o que est� guardado, ele bateu a senha correta. Esse tipo de autentica��o � usado no UNIX. JP --- [EMAIL PROTECTED] wrote: > Mas Marco, na realidade esse algoritmo nao garante > seguranca nenhuma, ou > nao? > Como gravar em um arquivo essa "password" se quando > transformada em string > fica identica? > > Atenciosamente > PAULO BRANCO > DIRETIVA DIGITAL > > > > > "Marco Aurelio Vilela Garcia" <[EMAIL PROTECTED]> > 06/05/2002 12:54 > Please respond to java-list > >   >         To:     <[EMAIL PROTECTED]> >         cc: >         Subject:        Re: [java-list] Password > > > Caro Matheus; > No caso de criptografar uma senha, eu sugiro que n�o > utilize nada para > criptografia. A documenta��o ainda est� fraca, pois > a API de criptografia > foi liberada para usu�rios fora dos EUA h� muito > pouco tempo. � poss�vel > obter uma funcionalidade parecida usando um digesto > de mensagem. > O procedimento � o seguinte: uma classe ir�, a > partir da sua senha, criar > uma string que parece ser criptografada. Mas n�o se > trata de criptografia, > � > apenas uma forma de autentica��o. Eu estou usando > isso para armazenar > senhas > numa base de dados. Estou satisfeito at� agora. > > Logo abaixo escrevo um c�digo para vc experimentar. > > Abra�os > Marco > > > > import java.security.*; > > /** >  *  @author  Marco Aur�lio Vilela Garcia >  *  @version 1,0 >  */ > public final class PasswordEncDec { > >     public static String cryptSenha(String senha){ >         try{ >             MessageDigest md = > MessageDigest.getInstance("SHA"); >             byte[] buf = senha.getBytes(); >             md.update(buf); >             byte[] digest = md.digest(); > >             return new String(digest); >         } >         catch(NoSuchAlgorithmException nsae){ > > System.err.println("==============================================="); > > System.err.println("==============================================="); >             System.err.println("      Erro > acontecendo no > PasswordEncDec"); >             System.err.println("              M�todo > cryptSenha "); >             System.err.println("Exce��o: "+ nsae); > > System.err.println("==============================================="); > > System.err.println("==============================================="); >             return null; >         } >     } > } > > > > ----- Original Message ----- > From: "MATHEUS Fabio O CONFAB" > <[EMAIL PROTECTED]> > To: <[EMAIL PROTECTED]> > Sent: Monday, May 06, 2002 8:54 AM > Subject: [java-list] Password > > > Pessoall, > > Algu�m teria um exemplo simples de criptografia de > uma string, ou > simplesmente s� o algoritimo?? > Qquer ajuda seria importante.. > > Grato e boa semana! > F�bio Oliveira Matheus > Confab Industrial S/A. - Depto. Sistemas > Pindamonhangaba - S�o Paulo - Brasil > E-Mail: [EMAIL PROTECTED] > Fone: 12-244-9316  Fax: 12-244-9304 > > > > ------------------------------ LISTA SOUJAVA > ---------------------------- > http://www.soujava.org.br  -  Sociedade de Usu�rios > Java da Sucesu-SP > d�vidas mais comuns: > http://www.soujava.org.br/faq.htm > regras da lista: > http://www.soujava.org.br/regras.htm > historico: > http://www.mail-archive.com/java-list%40soujava.org.br > para sair da lista: envie email para > [EMAIL PROTECTED] > ------------------------------------------------------------------------- > > > > ------------------------------ LISTA SOUJAVA > ---------------------------- > http://www.soujava.org.br  -  Sociedade de Usu�rios > Java da Sucesu-SP > d�vidas mais comuns: > http://www.soujava.org.br/faq.htm > regras da lista: > http://www.soujava.org.br/regras.htm > historico: > http://www.mail-archive.com/java-list%40soujava.org.br > para sair da lista: envie email para > [EMAIL PROTECTED] > ------------------------------------------------------------------------- > > > > > __________________________________________________ Do You Yahoo!? Yahoo! Health - your guide to health and wellness http://health.yahoo.com ------------------------------ LISTA SOUJAVA ---------------------------- http://www.soujava.org.br  -  Sociedade de Usu�rios Java da Sucesu-SP d�vidas mais comuns: http://www.soujava.org.br/faq.htm regras da lista: http://www.soujava.org.br/regras.htm historico: http://www.mail-archive.com/java-list%40soujava.org.br para sair da lista: envie email para [EMAIL PROTECTED] -------------------------------------------------------------------------