<html>
<head>
<style>
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
FONT-SIZE: 10pt;
FONT-FAMILY:Tahoma
}
</style>
</head>
<body class='hmmessage'><div style="text-align: left;">Thanks Michel,<br>That is sort of the conclusion I came too.&nbsp; I suppose you could also store it in a token such as a smart card device and have the administrator start the application.&nbsp; In the past, I have generated the key from hard coded text strings dispersed in the code.&nbsp; Not perfect but a little better. &nbsp; It doesn't appear there is an ideal solution yet.<br>I'll have a look at your paper. Thanks.<br><br>Cheers<br>David<br></div><br><br><br><blockquote><hr id="EC_stopSpelling">Date: Mon, 16 Jun 2008 14:13:16 +0000<br>From: mprunet@yahoo.fr<br>Subject: Re : [Java-project] Encrypting passwords<br>To: dcamp98@hotmail.com; java-project@lists.owasp.org<br><br>
<meta http-equiv="Content-Type" content="text/html; charset=unicode">
<meta name="Generator" content="Microsoft SafeHTML"><style>
.ExternalClass DIV
{;}

</style><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;"><div style="font-size: 12pt; font-family: times new roman,new york,times,serif;">
Hi David,<BR>
&nbsp;<BR>
I wrote an article here : <a href="http://www.owasp.org/index.php/Hashing_Java" rel="nofollow" target="_blank">http://www.owasp.org/index.php/Hashing_Java</a>&nbsp;maybe it can help !<BR>
It's only on application passwords. I'll appreciate your inputs. <BR>
&nbsp;<BR>
For database password&nbsp;maybe you can&nbsp;store it in&nbsp;an&nbsp;encrypted&nbsp;file. <BR>
A lot of application uses encrypted file with a predefined key. In that case you enter in the "chicken and egg" problem. <BR>
If you want&nbsp;this file&nbsp;to be really secure, the administrator has to type in the decryption password (PBE Algorithm) each time the server is starting. <BR>
&nbsp;<BR>
&nbsp;<BR>
&nbsp;<BR>
Michel<BR>
&nbsp;<BR>
<br>&nbsp;<BR>
<div style="font-size: 12pt; font-family: times new roman,new york,times,serif;">
<div style="font-size: 12pt; font-family: times new roman,new york,times,serif;">----- Message d'origine ----<br>De : David Campbell &lt;dcamp98@hotmail.com&gt;<br>À : java-project@lists.owasp.org<br>Envoyé le : Dimanche, 15 Juin 2008, 3h21mn 12s<br>Objet&nbsp;: [Java-project] Encrypting passwords<br><br>
<style>
.ExternalClass .EC_hmmessage P
{padding:0px;}
.ExternalClass body.EC_hmmessage
{font-size:10pt;font-family:Tahoma;}
</style>

<div style="text-align: left;">Hi guys,<br><br>I just wondered if people have any thoughts on best practices for encrypting applications passwords.&nbsp; For example, storing database credentials.<br>It appears to me to be a bit of a "chicken and egg" type problem.&nbsp;&nbsp; Any thoughts are welcome.<br><br>David<br></div><br>
<hr>
<a rel="nofollow" target="_blank"></a></div></div></div></div><br>



      <hr size="1"> 
Envoyé avec <a href="http://us.rd.yahoo.com/mailuk/taglines/isp/control/*http://us.rd.yahoo.com/evt=52423/*http://fr.docs.yahoo.com/mail/overview/index.html" target="_blank">Yahoo! Mail</a>.<br>Une boite mail plus intelligente. </blockquote><br /><hr /> <a href='' target='_new'></a></body>
</html>