Java Keystore - Где хранить мастер-пароль?

Question

Я занимаюсь разработкой приложения Java Swing, которое должно хранить пароли к удаленным серверам. Я решил использовать KeyStore для этого.

Я храню каждый пароль под псевдонимом / мастер-паролем и извлекаю их, используя тот же псевдоним / мастер-пароль.

Мой вопрос:

Где должен храниться мастер-пароль?

Это не дешевая попытка парадокса, а серьезный вопрос, и мне интересно знать, как решить эту проблему.

У меня нет никакого реального опыта в этой области, и любая помощь будет оценена.

Answer 1

Я храню каждый пароль под псевдонимом / мастер-паролем и извлекаю их используя тот же псевдоним / мастер-пароль.

Здесь есть недоразумение.
Хранилище ключей - это контейнер для ваших личных учетных данных и доверенных сертификатов, а , а не , это просто общая база данных / хеш-таблица для хранения паролей.

Наилучшим подходом было бы сохранить хэш пароля в базе данных.

Где должен храниться мастер-пароль?

Это очень распространенная проблема, которая возникает очень часто.
Просто сохраните его в исходном коде, который, да, можно декомпилировать, но делегируйте ответственность за сохранение конфиденциальности своей учетной записи, чтобы эти файлы не были украдены / проверены, например, через декомпилятор

Answer 2

Мастер-пароль должен либо:

• быть предоставлен пользователем онлайн
• , либо храниться в зашифрованном виде с использованием заданного пользователем пароля.Последний должен быть проинформирован пользователем онлайн.