2

请不要回复如何/为什么嵌入密码是一个坏主意。我对它们了如指掌,并且我已经查看了这篇文章What's the most secure way to embed a password inside Java code? 这没有为我提供答案。

关于我的问题。

我在我的程序中使用 SQL App Role。所以最终用户不知道角色名和密码是什么,因为它不适用于他们,如果他们发现角色名和密码是什么实际上是一个安全风险。

我考虑将角色/密码存储在安全的远程服务器中。但随后我必须授予用户访问密码的权限。加密密码并将其存储在配置文件中不起作用,因为解密例程将在代码中。

基本上我能想到的一切都只能模糊密码,但不能保护密码。

4

1 回答 1

0

“最”安全​​的方式?我不知道。有办法让它变得不那么明显。

一个建议是对程序中的一些无害数据使用 XOR,例如“按任意键继续”。

realPassword <- SHA256(myByteArray XOR getBytes(userMessage001))

这样,实际密码永远不会出现在代码中,只是派生密码的方法。你甚至可以myByteArray单独保存在一个文件中,这样它就不会出现在代码中。

正如@Aurand 指出的那样,您所能做的就是掩盖真实密码。有权访问代码的攻击者将能够找到它。

于 2013-11-01T14:06:28.000 回答