<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<STYLE>.hmmessage P {
        PADDING-RIGHT: 0px; PADDING-LEFT: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; PADDING-TOP: 0px
}
BODY.hmmessage {
        FONT-SIZE: 10pt; FONT-FAMILY: Tahoma
}
</STYLE>

<META content="MSHTML 6.00.2900.3354" name=GENERATOR></HEAD>
<BODY class=hmmessage>
<DIV><SPAN class=203512913-16062008><FONT face=Arial color=#0000ff>Regarding 
password, you may want to hash instead of encrypt/decrypt. This strengthens 
confidentiality, since you test the password against a hash, no one really knows 
what the password was.</FONT></SPAN></DIV>
<DIV><SPAN class=203512913-16062008><FONT face=Arial 
color=#0000ff></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=203512913-16062008>
<DIV><SPAN class=203512913-16062008><FONT face=Arial color=#0000ff>Nevertheless, 
you have a good point.</FONT></SPAN></DIV></SPAN></DIV>
<DIV><SPAN class=203512913-16062008><FONT face=Arial color=#0000ff>Wherever you 
store the key that decrypts or hashes&nbsp;a DB password could be accessible by 
anyone (including hard-coding the key in the application).</FONT></SPAN></DIV>
<DIV><SPAN class=203512913-16062008><FONT face=Arial 
color=#0000ff></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=203512913-16062008><FONT face=Arial color=#0000ff>Some ideas: 
Store the key in 2 or 3 different files.</FONT></SPAN></DIV>
<DIV><SPAN class=203512913-16062008><FONT face=Arial 
color=#0000ff></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=203512913-16062008><FONT face=Arial color=#0000ff>This is when 
"obscuring" as opposed to securing is not clear-cut. Hackers would need to know 
where and how you stored the key.</FONT></SPAN></DIV>
<DIV><SPAN class=203512913-16062008><FONT face=Arial 
color=#0000ff></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=203512913-16062008><FONT face=Arial 
color=#0000ff></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=203512913-16062008><FONT face=Arial color=#0000ff>Ruben 
Misrahi</FONT></SPAN></DIV>
<DIV><SPAN class=203512913-16062008><FONT face=Arial 
color=#0000ff></FONT></SPAN>&nbsp;</DIV>
<BLOCKQUOTE>
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT 
  face=Tahoma>-----Original Message-----<BR><B>From:</B> 
  java-project-bounces@lists.owasp.org 
  [mailto:java-project-bounces@lists.owasp.org]<B>On Behalf Of </B>David 
  Campbell<BR><B>Sent:</B> Saturday, June 14, 2008 9:21 PM<BR><B>To:</B> 
  java-project@lists.owasp.org<BR><B>Subject:</B> [Java-project] Encrypting 
  passwords<BR><BR></FONT></DIV>
  <DIV style="TEXT-ALIGN: left">Hi guys,<BR><BR>I just wondered if people have 
  any thoughts on best practices for encrypting applications passwords.&nbsp; 
  For example, storing database credentials.<BR>It appears to me to be a bit of 
  a "chicken and egg" type problem.&nbsp;&nbsp; Any thoughts are 
  welcome.<BR><BR>David<BR></DIV><BR>
  <HR>
</BLOCKQUOTE><A href="" target=_new></A></BODY></HTML>