Wie sichere Passwörter in der Softwareentwicklung?

Question

Wie sichern Sie Ihre Passwörter in den Property-Dateien? Verschlüsselung/Kodierung?

Oder verwenden Sie einen anderen Ansatz, um Datenbankbenutzer/Kennwörter für Verbindungszeichenfolgen zu behandeln?

Danke für Ihre Hilfe!

Update: Vielen Dank für Ihre Antworten! In diesem speziellen Fall sprechen wir über zwei Ebenen Architektur. Wir haben viele Kunden mit direkten Verbindungen zu den Datenbanken. Properties Files befinden sich auf einer Netzwerkfreigabe.

Answer 1

Sie möglicherweise zu aspnet_regiis genauer hinschauen. Dieses CommandLine-Programm hat einige ziemlich nette Parameter wie aus -pef (encrypt) und -pdf (decrypt).

so können Sie Ihre vollständige (oder nur einen Port von) xxx.config-Datei verschlüsseln, während es für Ihre Anwendung verwendbar bleibt.

Answer 2

Für Verbindungsstrings zur Datenbank verwende ich meistens jni Verbindungen. Und ich kann die Passwörter verschlüsseln: http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#Digested_Passwords

Answer 3

Ich denke, für Ihre übliche dreistufige Web-Anwendung, ist die Geheimhaltung Ihrer Datenbank Benutzername und Passwort nicht etwas, das Sie zu viel kümmern, weil Sie die Netzwerksicherheit steuern können. Schauen Sie sich zum Beispiel MongoDB an, wo Passwörter optional sind und nicht von allen Konfigurationen unterstützt werden. Sie müssen Ihren Datenbankserver so einstellen, dass er nur Verbindungen von Ihren eigenen Anwendungsservern akzeptiert.

Sie haben mehrere Konten (mit zugehörigen Berechtigungen), um sich vor Unfällen zu schützen, nicht um einzelne Personen voneinander zu trennen.

Es besteht keine Möglichkeit, dass Endbenutzer direkt eine Verbindung zur Datenbank herstellen können.

Das Verbleiben der Verbindungsanmeldeinformationen in einer unverschlüsselten Eigenschaftendatei auf dem Server ist also in Ordnung. Wenn jemand auf den Server kommt, sind Sie ohnehin schon in Schwierigkeiten.

Speichern Sie diese Datei besser außerhalb des Quell-Repository.

Answer 4

Ich mache dies durch die Verschlüsselung der Verbindungszeichenfolge.
Dies kann durch Erstellen einer separaten Anwendung zum Verschlüsseln der Verbindungszeichenfolge erreicht werden. Und mit dem Entschlüsselungscode, der in der Anwendung selbst eingebettet ist.