Risiko von Keystore-Passwort und Alias-Passwort unterschiedlich

Question

Ich arbeite an einer Java-Anwendung, die JKS-Keystores für die gegenseitige Authentifizierung verwendet. Eine Sache, die mir aufgefallen ist, ist ein Fehler, bei dem unser Keystore-Passwort und Alias-Passwort für eine unserer Anwendungen identisch sein müssen.

Abgesehen davon, dass es keine eindeutigen Passwörter gibt, ist es in der Regel eine schlechte Praxis. Ich habe mich gefragt, ob es Studien oder Möglichkeiten gibt, das Risiko von verschachtelten Keystore-Passwörtern und Aliasen zu quantifizieren.

Answer 1

Die Verwendung eines separaten Schlüssel-Alias-Passworts in JSSE macht bestimmte Dinge unmöglich. Zum Beispiel gibt es keine Systemeigenschaft dafür. Wenn Sie also zum Konfigurieren von JSSE auf Systemeigenschaften angewiesen sind, müssen Sie keine Schlüssel-Alias-Kennwörter verwenden.