Discussion :

[raphielda]

Bonjour à vous tous,

Situation:
Mon application java permet d'envoyer des mails en utilisant javamail (comme outlook), il a besoin un compte email authentifié, donc au lieu de saisir chaque fois les cordonées, j'aimerais pouvoir stocker quelque par dans un fichier, de manière sécurisé.

Question:
Comment peut-on sauvegarder un mot de passe dans un fichier (ex: monapp.ini) de manière sécuriser (pas en texte claire).

Remarque:
Cryptage avec MD5 ne va pas pour ce genre d'application.

Merci d'avance
Raphy

[verbose]

Remarque:
Cryptage avec MD5 ne va pas pour ce genre d'application.

Ah bon ? pourquoi ?
Sinon tu peux aussi utiliser l'algo SHA-1, mais le principe de base reste le même.

[raphielda]

Ah bon ? pourquoi ?
Sinon tu peux aussi utiliser l'algo SHA-1, mais le principe de base reste le même.

Parceque une fois que le mot de passe est cripté avec MD5 on ne peut pas décripté pour retrouver l'original afin d'athentifié sur le serveur SMTP.

J'aimerais pouvoir allez lire le fichier qui contient le mot de passe et ensuite authentifier auprès de serveur de mail sortant (SMTP).

[fnobb]

Bonjour,

As tu regardé du coté des packages javax.crypto ?

[ThePhenom]

C'est un problème intéressant, j'ai été confronté à un problème similaire que j'ai résolu en utilisant un algo (BlowFish) a clé privé ... donc qui permet de crypter/décrypter les passwords mais vu que ma clé etait planqué ds le code de mon application on peut pas dire que niveau sécurité c'etait genial.(c'est pas bien compliqué de decompilé du byte code). Maintenant en sauvegardant la clé secrète ds la bd ca doit être déjà un peu mieux ... Mais j'y connais pas grand chose en securité donc bon ...

[raphielda]

Bonjour,

As tu regardé du coté des packages javax.crypto ?

Merci pour ta réponse, j'ai regardé le package javax.crypto, c'est exactement ça que j'ai cherché, mais je n'ai pas assez de connaissance pour évaluer le niveau de sécutité

Si quelqu'un connais bien ce type de cryptage (DES) merci de me faire des remarques.

Bonne journée
Raphy

[Eco]

Bonjour,

Je me permet de remonter le sujet car j'ai le meme soucis et je ne vois pas comment le resoudre.

Pour utiliser mon application un utilisateur doit donner son identififiant et mot de passe. J'aimerai sauvegarder ce mot de passe et identifiant dans un fichier pour pouvoir 'logger' automatiquement l'utilisateur au demarrage de l'application.

Comme ThePhenom, j'ai pense a blowfish et a hardcoder la cle secrete mais c'est tres facile de retrouver le source depuis le byte code.

J'ai regarder javax.crypto qui genere des cles mais, elles seront differentes chaque fois et je ne pourrais pas decrypter mon mot de passe.

J'ai aussi regarde la keystore mais pour acceder a la keystore il faut ... un mot de passe. Et donc le sauvegarder. De coup ca se mort un peu la queue.

Quelqu'un pourrait m'expliquer comment sauvegarder des informations dans un fichier local de maniere securisee? (et surtout etre capable de les relire )

Merci.

Eco.

[ajmaster]

Dans tout les cas il n'y a pas de secret, si tu chiffre une information et que tu ne veut pas demander de mot de passe à l'utilisateur il faudra stocker en clair la clé de déchiffrement ou le mot de passe du keystore.

A la limite tu peut coder le mot de passe ou la clé en base64 mais ce n'est une garantie de sécurité

[Marco46]

Question:
Comment peut-on sauvegarder un mot de passe dans un fichier (ex: monapp.ini) de manière sécuriser (pas en texte claire).

La réponse est juste : non.

C'est à toi de voir où se situe la limite de sécurité pour ton application.

La meilleure à mon sens est d'imposer un login à l'application à chaque démarrage et de se servir du mot de passe du login (que tu pourras stocker avec un hash puisque saisi à chaque utilisation tu pourras faire la comparaison) pour chiffrer le mot de passe POP3 (je ne vois pas le rapport avec SMTP qui ne nécessite pas d'authentification).

Sinon tu seras obligé à un moment où à un autre de stocker une clef privée (ou mot de passe appelle ça comme tu veux mais ça revient au même finalement) plus ou moins en clair.

Cette discussion sur le forum de Sun dans la partie sécurité est éclairante sur ce sujet.

EDIT :

Quelqu'un pourrait m'expliquer comment sauvegarder des informations dans un fichier local de maniere securisee? (et surtout etre capable de les relire )

Il te faut une clef (ou un mot de passe comme tu veux ^^). Tu pourras pas y couper !

Base64 est un encodage, pas un algo de chiffrement, ce qui signifie que celui qui trouve la méthode utilisée pourra décoder sans problème. Idem pour "l'obfuscation" du mot de passe écrit en dur dans le code source.

[tchize_]

pour référence, sous linux, la seule manière sécurisée de mémoriser les différents mot de passe utilisateur, c'est au travers d'un portefeuille de mot de passes qui est ... protégé par un mot de passe maitre. Et oui, on y coupe pas. A coté de ça, t'as des application comme thunderbird ou firefox qui stockent les mot de passe, mais la doc est claire à ce sujet: ce n'est pas sécurisé.

[Eco]

Meme si ce n'est pas la reponse que j'esperais, merci pour cette reponse claire

Eco.