Discussion :

[FFF]

Bonjour,

J'ai une application utilisant des login/mot de passe saisis par l'utilisateur, enregistrés dans un fichier (log.txt) se trouvant dans le répertoire de l'application. J'aimerais empêcher une autre application (application espion) d'aller lire ces fichiers (*.txt) et donc de piquer ces mots de passes.
Comment faire ? Est-ce possible ?
J'ai pensé en faisant un programme d'installation qui demande à l'utilisateur de saisir le chemin d'installation non standard... mais ceci n'est qu'une première protection...

Merci pour vos propositions.

[Coulon Arnaud]

Je pense que tu peux utiliser une fonction de hachage (SHA par exemple ou MD5).
Il te faut stocker le mot de passe hacher dans ton fichier.
Après quand un utilisateur s'authentifie, tu récupère son mdp en clair, tu le haches et tu le compares à la version hachée dans ton fichier.

Arnaud

[FFF]

ouais, j'y ai pensé, mais le truc c'est que si je stocke en dur les mots de passes c'est pour éviter de les resaisire par la suite... donc ça me convient pas trop...

[xxaragornxx]

Je pense que tu peux utiliser une fonction de hachage (SHA par exemple ou MD5).
Il te faut stocker le mot de passe hacher dans ton fichier.
Après quand un utilisateur s'authentifie, tu récupère son mdp en clair, tu le haches et tu le compares à la version hachée dans ton fichier.

Arnaud

Oui, quitte à être écrit en dur en local, il vaut mieux passer par de la crypto...

[FreshVic]

Je pense que tu peux utiliser une fonction de hachage (SHA par exemple ou MD5).
Il te faut stocker le mot de passe hacher dans ton fichier.
Après quand un utilisateur s'authentifie, tu récupère son mdp en clair, tu le haches et tu le compares à la version hachée dans ton fichier.

Arnaud

J'avais aussi pensé a ca , mais si il veut stocker le mot de passe afin que l'utilisateur evite de le resaisir a chaque fois ca ne marche plus , puisqu'il est impossible de retrouver le mot de passe a partir du hash !!
Mais si ce n'est pas le cas la solution est la effectivement !

[xxaragornxx]

ouais, j'y ai pensé, mais le truc c'est que si je stocke en dur les mots de passes c'est pour éviter de les resaisire par la suite... donc ça me convient pas trop...

Pourtant tu cryptes dans un sens puis tu fais l'inverse en lecture. C'est le principe même du mot de passe qui figure (normalement) très rarement en clair même dans une Base de Donnée

[FreshVic]

ouais, j'y ai pensé, mais le truc c'est que si je stocke en dur les mots de passes c'est pour éviter de les resaisire par la suite... donc ça me convient pas trop...

c'est ce que je pensais ,!!
tu as toujours la solution de chiffrage dechiffrage, mais la j'ai jamais fait ca en java !!

[FFF]

je viens de regarder les fichiers de FileZilla (client ftp), ils stockent les mots de passe cryptés ou peut-être un lien vers autre choses... (cryptage pas très performant puisqu'il n'y a que des chiffres... mais ça m'éclaire pas trop...

[FreshVic]

ouais, j'y ai pensé, mais le truc c'est que si je stocke en dur les mots de passes c'est pour éviter de les resaisire par la suite... donc ça me convient pas trop...

Pourtant tu cryptes dans un sens puis tu fais l'inverse en lecture. C'est le principe même du mot de passe figure (normalement) très rarement en clair même dans une Base de Donnée

La on parlais de hashage , le hashage n'est pas du chiffrage il s'agit d'obtenir une signature unique d'une chaine de caractere , la chaine obtenue est unique et identifie la chaine de base mais il est impossible de recuperer la chaine de base !!!

[soad]

ben par exemple tu fais un ptit cryptage de ton mot de passe avant de l'enregistrer dans ton fichier !!! et quand tu relis ton fichier du le décrypte !!!


exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
 
String motPasse = "essai";
String motPasseCrypter = "";
 
for(int x=0; x<motPasse.length(); x++) {
 
    char c = motPasse.charAt(x);
    c++;
 
    motPasseCrypter += c;
}

[adiGuba]

Salut,

J'avais aussi pensé a ca , mais si il veut stocker le mot de passe afin que l'utilisateur evite de le resaisir a chaque fois ca ne marche plus , puisqu'il est impossible de retrouver le mot de passe a partir du hash !!
Mais si ce n'est pas le cas la solution est la effectivement !

Nota : c'est la solution utilisé sous Unix/Linux


Sinon dans ton cas tu es obligé d'utiliser un alogrythme de cryptage pour ton fichier... sachant que je ne pense pas que ce soit 100% sécurisé... mais c'est nettement mieux que le mot de passe en clair

Jette toujours un coup d'oeil au package javax.crypto...

a++

[FreshVic]

peut etre que ca t'aideras :
http://nyal.developpez.com/tutoriel/java/bouncycastle/

[zekey]

Passe par un mécanisme d'authentification par empreintes digitales
Plus sérieusement tu stockes en local des passwords pour des applis distantes ? C'est ca ?
Ce que je ne comprend pas c'est comment une application espionne serait au courant que tu stockes tes password à cet endroit.
Ton appli est elle à ce point répendue ?

[xxaragornxx]

Sinon il y a aussi le package java.security du jdk.

En gros le mot de passe est 'haché' en MD5 dans un fichier.
L'utilisateur entre le mot de passe qui est 'haché'
puis comparé au fichier.

Après je ne connais pas les limites de cette solution...

[FFF]

Merci pour vos réponses.

j'en conclut que la meilleure solution est de crypter tout ceci dans un fichier et de décrypter quand besoin est (donc pas de MD5).

Passe par un mécanisme d'authentification par empreintes digitales
Plus sérieusement tu stockes en local des passwords pour des applis distantes ? C'est ca ?
Ce que je ne comprend pas c'est comment une application espionne serait au courant que tu stockes tes password à cet endroit.
Ton appli est elle à ce point répendue ?

Ben sans imaginer forcémment le pire (application espionne), quelqu'un qui utiliserait cette appli saurait où chercher ces mots de passes. Donc c'est mieux d'empêcher leur lecture directe.