Re: [java-list] Password

Lusoujava Tue, 07 May 2002 07:12:43 -0700

Paulo,

    O primeiro ponto a ser discutido é : O que Vc deseja proteger ou
ocultar? Se Vc encripta toda a base de senhas, o que Vc está fazendo é
evitando que alguém que tenha acesso a sua base, possa ler o seu conteúdo.
Agora se Vc deseja simplesmente não revelar a senha de um usuário, nem mesmo
para o administrador do sistema, o uso de um digest é mais aconselhado em
função da sua facilidade de uso e sua velocidade.
    Só para reforçar, o digest simplesmente oculta a senha do usuário (e a
partir do resultado do digest não há como obter o texto de entrada ou seja,
a senha). O que Vc ainda pode fazer é controlar o acesso ao arquivo que
contenha os digest das senhas, seja pelo próprio SO ou ainda encriptando
ele.
    Não sei se consegui me fazer entendido. Em segurança o foco principal
está NO QUE, o COMO existe inúmeras possibilidades.


    [ ]´s
    Luciano da Silva Coelho
    [EMAIL PROTECTED]
    Sun Certified Programmer for JAVA2
    Sun Certified Web Component Developer for J2EE
    Sun Certified Instructor for JAVA2
    e-Sec Tecnologia em Segurança de Dados
    www.esec.com.br
----- Original Message -----
From: <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Monday, May 06, 2002 2:57 PM
Subject: Re: [java-list] Password


Quer ter seu próprio endereço na Internet?
Garanta já o seu e ainda ganhe cinco e-mails personalizados.
DomíniosBOL - http://dominios.bol.com.br





Mas Marco, na realidade esse algoritmo nao garante seguranca nenhuma, ou
nao?
Como gravar em um arquivo essa "password" se quando transformada em string
fica identica?

Atenciosamente
PAULO BRANCO
DIRETIVA DIGITAL




"Marco Aurelio Vilela Garcia" <[EMAIL PROTECTED]>
06/05/2002 12:54
Please respond to java-list


        To:     <[EMAIL PROTECTED]>
        cc:
        Subject:        Re: [java-list] Password


Caro Matheus;
No caso de criptografar uma senha, eu sugiro que não utilize nada para
criptografia. A documentação ainda está fraca, pois a API de criptografia
foi liberada para usuários fora dos EUA há muito pouco tempo. É possível
obter uma funcionalidade parecida usando um digesto de mensagem.
O procedimento é o seguinte: uma classe irá, a partir da sua senha, criar
uma string que parece ser criptografada. Mas não se trata de criptografia,
é
apenas uma forma de autenticação. Eu estou usando isso para armazenar
senhas
numa base de dados. Estou satisfeito até agora.

Logo abaixo escrevo um código para vc experimentar.

Abraços
Marco



import java.security.*;

/**
 *  @author  Marco Aurélio Vilela Garcia
 *  @version 1,0
 */
public final class PasswordEncDec {

    public static String cryptSenha(String senha){
        try{
            MessageDigest md = MessageDigest.getInstance("SHA");
            byte[] buf = senha.getBytes();
            md.update(buf);
            byte[] digest = md.digest();

            return new String(digest);
        }
        catch(NoSuchAlgorithmException nsae){

System.err.println("===============================================");

System.err.println("===============================================");
            System.err.println("      Erro acontecendo no
PasswordEncDec");
            System.err.println("              Método cryptSenha ");
            System.err.println("Exceção: "+ nsae);

System.err.println("===============================================");

System.err.println("===============================================");
            return null;
        }
    }
}



----- Original Message -----
From: "MATHEUS Fabio O CONFAB" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Monday, May 06, 2002 8:54 AM
Subject: [java-list] Password


Pessoall,

Alguém teria um exemplo simples de criptografia de uma string, ou
simplesmente só o algoritimo??
Qquer ajuda seria importante..

Grato e boa semana!
Fábio Oliveira Matheus
Confab Industrial S/A. - Depto. Sistemas
Pindamonhangaba - São Paulo - Brasil
E-Mail: [EMAIL PROTECTED]
Fone: 12-244-9316  Fax: 12-244-9304



------------------------------ LISTA SOUJAVA ----------------------------
http://www.soujava.org.br  -  Sociedade de Usuários Java da Sucesu-SP
dúvidas mais comuns: http://www.soujava.org.br/faq.htm
regras da lista: http://www.soujava.org.br/regras.htm
historico: http://www.mail-archive.com/java-list%40soujava.org.br
para sair da lista: envie email para [EMAIL PROTECTED]
-------------------------------------------------------------------------



------------------------------ LISTA SOUJAVA ----------------------------
http://www.soujava.org.br  -  Sociedade de Usuários Java da Sucesu-SP
dúvidas mais comuns: http://www.soujava.org.br/faq.htm
regras da lista: http://www.soujava.org.br/regras.htm
historico: http://www.mail-archive.com/java-list%40soujava.org.br
para sair da lista: envie email para [EMAIL PROTECTED]
-------------------------------------------------------------------------







------------------------------ LISTA SOUJAVA ---------------------------- 
http://www.soujava.org.br  -  Sociedade de Usuários Java da Sucesu-SP 
dúvidas mais comuns: http://www.soujava.org.br/faq.htm
regras da lista: http://www.soujava.org.br/regras.htm
historico: http://www.mail-archive.com/java-list%40soujava.org.br
para sair da lista: envie email para [EMAIL PROTECTED] 
-------------------------------------------------------------------------

Re: [java-list] Password

Responder a