• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Spring Security, wykorzystanie hasła jako klucz

VPS Starter Arubacloud
0 głosów
174 wizyt
pytanie zadane 13 listopada 2018 w Java przez Przemyslaw Użytkownik (610 p.)
Cześć

Tworzę aplikacje webową, która w założeniu ma być odporna na różne ataki i podatności, które są uwzględnione w liście TOP10 OWASP. W tym momencie walczę z "Sensitive Data Exposure". W celu prewencji, planuję zaszyfrować takie dane jak hasło użytkownika i jego numer konta.

O ile z pomocą frameworka Spring Security i algorytmu Bcrypt z hasłem poszło szybko, przyjemnie i bezproblemowo, o tyle z numerem konta jest inaczej. Problem wynika z tego, że chcę aby był on wyświetlany w panelu zalogowanego użytkownika. Funkcja więc nie może być jednokierunkowa, gdyż muszę ją przy wyświetleniu odszyfrować.

W celu zaszyfrowania numeru konta wymyśliłem że użyję algorytmu AES, gdzie kluczem będzie hasło(w formie jawnej) użytkownika. Jednak hasło w aplikacji jest przechowywane jako szyfrogram.

Powstaje więc pytanie, czy jest jakaś możliwość przechwycenia i użycia do odszyfrowania numeru konta, wartości hasła wpisywanej w formularzu logowania zanim zostanie przekształcona w szyfrogram? Wykorzystuję panel logowania udostępniony przez Spring Security.

Może macie jakieś inne pomysły na zaszyfrowanie numeru konta, lub lepszy pomysł na klucz do algorytmu?

Dziękuję za pomoc i zapraszam do dyskusji.
komentarz 14 listopada 2018 przez mbabane Szeryf (79,280 p.)

Nie znam odpowiedzi na zadane pytanie, jednak chciałbym dopytać, co masz na myśli pod hasłem:

numer konta

W sensie id w w bazie czy numer konta bankowego? 

komentarz 14 listopada 2018 przez Przemyslaw Użytkownik (610 p.)
Numer konta bankowego.

Zaloguj lub zarejestruj się, aby odpowiedzieć na to pytanie.

Podobne pytania

0 głosów
1 odpowiedź 134 wizyt
pytanie zadane 29 maja 2019 w Java przez JuniorPL Użytkownik (770 p.)
0 głosów
3 odpowiedzi 259 wizyt
0 głosów
1 odpowiedź 1,038 wizyt
pytanie zadane 14 marca 2018 w Java przez Tomek Reda Obywatel (1,110 p.)

92,452 zapytań

141,262 odpowiedzi

319,079 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...