Il modo migliore per archiviare in modo sicuro le password per uso locale?

2

Sto scrivendo un'applicazione Java che ha bisogno di tre coppie nome utente / password. Vorrei aggiungere una funzionalità "ricordami", il che implica che dovrei memorizzare le password sul computer dell'utente.

Sapendo che questa applicazione verrà utilizzata quotidianamente da alcuni colleghi di lavoro sulle proprie macchine, ho preso in considerazione l'archiviazione delle password su un file crittografato locale e la richiesta di una password principale che consentirebbe l'utilizzo delle 3 password crittografate.

Tuttavia, so che la crittografia basata su password non può essere protetta se l'utente sceglie una password scadente. Quali potrebbero essere le mie alternative?

    
posta 07.01.2015 - 16:39
fonte

2 risposte

1

Oltre all'applicazione di un criterio password è possibile memorizzare una chiave di crittografia / decrittografia nel TPM. C'è una libreria disponibile qui creata dal MIT. È stato sviluppato come parte del progetto di ricerca su Trusted Computing.

Questo naturalmente non copre l'accesso non autorizzato alla macchina fisica o se non viene utilizzata la crittografia completa del disco.

    
risposta data 07.01.2015 - 16:55
fonte
1

Genera una stringa che incorpora caratteri maiuscoli, minuscoli, numerici e speciali di lunghezza minima di 12 caratteri e una lunghezza massima di 25 caratteri, con troncamento casuale all'interno dei parametri descritti. Inoltre, l'algoritmo della stringa dovrebbe idealmente contenere un modello casuale in modo tale che l'algoritmo utilizzato provenga da un insieme di algoritmi che sono casualmente integrati in vari casi di variabili chiave. Questa password generata automaticamente dovrebbe essere utilizzata solo una volta e visualizzata sullo schermo dopo l'accensione del computer e quando un utente inserisce un'unità USB con una chiave.

Lo svantaggio è che ciò richiederebbe un'eccezione per l'esecuzione automatica / autoplay per i dispositivi USB, ma il vantaggio è che la regola delle eccezioni funziona solo con l'esatto USB utilizzato per generare la chiave di accesso. Per attenuare il lato negativo, utilizza la crittografia predefinita del disco.

Se è necessario mantenere la stessa password per uso ripetuto e se è necessaria una password master per i tre che hai configurato; dato che la tua paura è un utente che crea una password povera usa un sistema 'captcha' come controllo per confrontare la password creata dall'utente con i parametri che hai impostato mentre contemporaneamente proteggevi dagli attacchi del dizionario contro l'account.

    
risposta data 07.02.2015 - 02:24
fonte

Leggi altre domande sui tag