IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage Java Discussion :

Sécurité des mots de passes dans une application - Java


Sujet :

Langage Java

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2018
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2018
    Messages : 2
    Par défaut Sécurité des mots de passes dans une application - Java
    Bonjour à tous,

    Je développe actuellement un petit outil Java permettant de transférer automatiquement des fichiers d'un point A vers un point B.
    Dans le but d'éviter que tout utilisateur ayant accès à l'application puisse envoyer des fichiers, j'ai mis en place un module d'authentification à l'Active Directory.

    Principe de ce module :
    L'utilisateur ouvre l'application Java déployé en local et renseigne son login/password.
    Ensuite, j'utilise un "compte de service Active Directory" pour ouvrir une connexion à l'AD et vérifier que les credentials sont corrects.
    Si tout est valide, l'utilisateur accède aux fonctionnalités de l'application.

    Le problème :
    Pour utiliser le compte de service et interroger l'Active Directory, j'ai renseigné les credentials du compte service dans un fichier de configuration externe.
    Ces informations ont été crypté par mon programme mais la clé permettant de chiffrer/déchiffrer ces informations est bien visible dans le code source du projet.

    Ma question :
    Quelle est la meilleure solution, open source si possible, pour protéger au mieux cette clé ?
    À priori je laisse toujours une trace derrière moi pour retrouver cette clé.

    Précision :
    - Mon programme est déployé côté client, ne contient pas de base de données.
    - Protéger le dossier d'installation n'est pas une sécurité suffisante.
    - j'ai déjà essayé plusieurs obfuscator comme Proguard mais ils ne masquent pas les constantes.


    N'hésitez pas s'il vous manque des informations,


    Je vous remercie tous d'avance pour votre aide.

    Logan

  2. #2
    Modérateur

    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    12 582
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 12 582
    Par défaut
    Hello,

    le mieux à faire dans ce cas-là est de déléguer la vérification des user/mots de passe à un serveur sous ton contrôle et qui n'est pas chez le client.

    Ainsi, seul ce serveur aurait les credentials du service AD, et donc pas besoin de les crypter et pas besoin de protéger une clé.

    Évidemment, je comprends pas trop pourquoi tu as besoin des credentials du service AD pour authentifier un utilisateur avec son login/mot de passe.
    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  3. #3
    Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2018
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2018
    Messages : 2
    Par défaut
    Bonjour,

    Un grand merci pour votre réponse.
    Votre questionnement sur le fait d'utiliser un compte service pour interroger l'AD m'a permis de tomber sur des exemples très intéressants.
    J'ai adapté mon code et j'ai réussi à me connecter en introduisant mes propres credentials dans un formulaire. (et donc plus de fichier properties).

    Source :
    http://www.javaxt.com/wiki/Tutorials...tive_Directory
    https://stackoverflow.com/questions/...tive-directory
    https://www.supinfo.com/articles/sin...-via-ldap-java

    Logan

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Crypter des mots de passe dans une base de données WordPress
    Par DarckCrystale dans le forum WordPress
    Réponses: 11
    Dernier message: 26/02/2021, 23h05
  2. Aide sur une sensibilisation sécurité des mots de passe
    Par lawrenz23 dans le forum Sécurité
    Réponses: 3
    Dernier message: 03/03/2015, 16h59
  3. Réponses: 4
    Dernier message: 05/03/2010, 11h15
  4. mot de passe dans une application delphi
    Par Dark_Wishmaster dans le forum Delphi
    Réponses: 1
    Dernier message: 30/04/2007, 20h31
  5. sécuriser le mot de passe dans une page asp
    Par Redouane dans le forum ASP
    Réponses: 2
    Dernier message: 10/03/2004, 21h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo