Cryptage mot de passe Connection

Bonjour.

Voilà ma question : j'ai une application qui crée un objet Connection pour se connecter à une base de données mutualisée. Cette BD utilise un login et un mot de passe fixes.

Seulement voilà, les utilisateurs finaux ne connaissent pas ce mot de passe, et je ne veux pas qu'ils le connaissent.

Est-il possible de trouver un moyen pour le "crypter" pour qu'il ne puissent pas le lire en décompilant les binaires générés ?

Merci d'avance.
@+ Rémi

Tes identifiants de connexion (login/password) se trouvent où : fichier de config XML d'une API de persistance ? constante Java ? fichier de propriété quelconque ?

Voilà ce que tu peux faire pour encrypter :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53

import java.io.*; public class Encryptor { public Encryptor(int aKey) { key = aKey; }   public void encryptFile(String inputFileName, String outputFileName) throws IOException { InputStream in = null; OutputStream out = null; try { in = new FileInputStream(inputFileName); out = new FileOutputStream(outputFileName); encryptStream(in,out);   } finally { if(in != null) in.close(); if(out != null) out.close(); } }   public void encryptStream(InputStream in, OutputStream out) throws IOException { boolean done = false; while(!done) { int next = in.read(); if(next == -1) done = true; else { byte b = (byte)next; byte c = encrypt(b); out.write(c); } } }   public byte encrypt(byte b) { return (byte)(b + key); }   private int key; }

---

Ca encrypte tout et n'importe quoi...

Citation:

---

Envoyé par Razgriz

Ca encrypte tout et n'importe quoi...

---

et ça ce casse ... en 3s :?

Je ne suis pas sûr qu'un simple cryptage de césar soit la solution :? , regarde plutôt du coté du package javax.crypto

Si jamais t'as DB est une Oracle (récente + entreprise), alors regarde du côté du "cryptage transparent" : http://leoanderson.developpez.com/se...oracle/#LV-B-2


...sinon tu peux "obfuscer" ton code si tes login/password sont en constantes Java ; dans les autres cas c'est les droits sur le fichier de config. (XML, properties) qui doivent être définis au minimum vital pour tout autre utilisateur que celui de l'application.

NB_ la crypto en Java se fait avec des <<JCE providers>> du type (SunJCE fourni par défaut ou Bouncy Castle en open-source) avec des algos 'standards' comme AES et RSA mais voir comment la base gère ses fonctions de déchiffrement car toutes n'en ont pas !

ouias ça se casse facilement mais c'est la base, c'est le premier encrypteur créé...

Merci pour vos députs de réponse.

C'est stocké dans un fichier de config (hibernate.cfg.xml).
Le truc javax.crypto, vous avez de la doc ?

@+
Rémi

un lien que doit connaître tout developpeur Java : Javadoc

utilise le hachage MD5. Y a pas mieux!

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

import java.security.*;     // GESTION MOT DE PASSE // Role: Prend en entree une chaine de caracteres et produit une nouvelle chaine cryptee. // Utilisation du hachage MD5 qui est un cryptage unidirectionnel. private String cryptPassword(String pass) { byte[] uniqueKey = pass.getBytes(); byte[] hash = null; try { hash = MessageDigest.getInstance("MD5").digest(uniqueKey); } catch (Exception e) { // Il ne doit jamais avoir d'erreurs ici e.printStackTrace(); } StringBuffer hashString = new StringBuffer(); for (int i=0; i<hash.length; ++i ) { String hex = Integer.toHexString(hash[i]); if (hex.length() == 1) { hashString.append('0'); hashString.append(hex.charAt(hex.length()-1)); } else { hashString.append(hex.substring(hex.length()-2)); } } return hashString.toString(); }

---

C'est pareil, un MD5 c'est vite cracké avec John The Ripper... :lol:

Citation:

---

Envoyé par billynirvana

utilise le hachage MD5. Y a pas mieux!

---

8O

Il existe des cryptanalyses (failles de sécurité) sur la fonction de hachage MD5 : utiliser plutôt SHA-1, voire SHA-256...

Sinon de toute façon il faut au moins qu'il chiffre son mot de passe avec une clé GARDEE SECRETE DANS LE CODE APPLICATIF pour que le moteur de la base déchiffre le tout ; sinon les utilisateurs pourront rejouer son mot de passe haché comme il le veulent sans même savoir que c'est un condensé cryptographique.

Bref le seul vrai moyen fiable et simple à mon sens est de n'accorder aucun droit aux utilisateurs sur le fichier "hibernate.cfg.xml" !!! :?

Je finis mes exams et je poste dans les pages libres un encrypteur de chaque type, César, AES et DSA, les deux derniers étant théoriquement incassables...

Bonjour, désolé de relancer ce sujet un peu ancien mais je souhaite faire la même chose, c'est à dire me connecter à une base de données Mysql sans pour autant donner le login / mot de passe aux utilisateurs de mon application
Si vous pouviez m'éclairer sur ces points :

I : Quelle est la meilleur ( d'après vous ) façon d'enregistrer les logins / mots de passe ( dans le code ? dans un fichier ? ... )

II : En fonction de la réponse précédente, quelle serait la meilleur méthode pour protéger ces données, en sachant que l'application est portable (linux / windows)

Merci à vous

Pour chiffrer un mot de passe il faut un mot de passe.

Stocker un mot de passe dans le code source n'est pas une bonne idée. Dans un fichier quelconque non plus.

Quoi qu'il arrive tu devras faire saisir un mot de passe à ton utilisateur. Sinon il faudra utiliser des certificats X.509 avec une clef privée dans un magasin de clef mais là aussi il te faudra un mot de passe pour accéder au magasin.

Bref, ça tourne en rond ^^

Une chose que je n'ai pas saisie..

On parle de crypter ou décrypter le mot de passe mais s'il faut le crypter, ça signifie qu'il doit apparaître en clair..
Alors comment bien crypter (ou "chiffrer") le mot de passe de connexion sans qu'il ne soit jamais visible?

En PHP il suffisait de mettre le code déjà crypté dans le fichier .htaccess et hop on ne voyait jamais le mdp..

Comment faire en java pour se connecter donc à Oracle sans login ? (si un login est exigé la question ne se pose pas)

En passant par une appli serveur qui elle connait les pass pour l access a la base. Perso qd un client se connecte a mon appli serveur et est reconnu je lui attribu une session (generalement un truc bien aleatoire) et je lui renvoi renvoi juste son identifiant de session et a chaque qui essai de se connecter a la BDD je verifie que ca session est connue, ainsi mon client ne connais aucun mot de passe "system" mais seulement son pass perso.
Après faut prevoir un mecanisme pour virer les sessions qd le client se deconnecte (proprement ou pas);

Moi je fais ca a la mano, mais dois bien y avoir des outils pour faire ca. :ccool:

Ce bout de code permet de chiffrer ce que tu veux, avec l'algorithme que tu veux, pour peu que tu aies tout initialisé correctement.

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47

public void crypt(InputStream in, OutputStream out, Cipher cipher) throws IOException { int blockSize = cipher.getBlockSize(); int outputSize = cipher.getOutputSize(blockSize); byte[] inBytes = new byte[blockSize]; byte[] outBytes = new byte[outputSize];   int inLength = 0; boolean done = false; while(!done) { inLength = in.read(inBytes); if(inLength == blockSize) { try { int outLength = cipher.update(inBytes, 0, blockSize, outBytes); out.write(outBytes, 0, outLength); } catch(ShortBufferException e) { e.printStackTrace(); } } else done = true; }   try { if(inLength > 0) outBytes = cipher.doFinal(inBytes, 0, inLength); else outBytes = cipher.doFinal(); out.write(outBytes); } catch(IllegalBlockSizeException e) { e.printStackTrace(); } catch(BadPaddingException e) { e.printStackTrace(); } }

---

Pour chiffrer un String, envoie-le dans un ByteArrayInputStream.