Ti è piaciuto questo blog?
Supportaci e acquista:
"La Sicurezza delle Reti Grandi e Distribuite"

Codifica sicura della password con SHA256

Di -

DOMANDA:

Come posso creare un sistema di conservazione sicura delle password nel database della mia applicazione?



RISPOSTA:

Il metodo più usato per conservare in maniera sicura le password consiste nel "cifrarle" con alcuni algoritmi che utilizzano funzioni non invertibili (one-way).

Nell'esempio vi mostrerò come cifrare utilizzando SHA256, attualmente un buon compromesso tra sicurezza e costi computazionali per un'applicazione media. In ogni caso vedremo quanto è facile modificare il tipo di cifratura utilizzata.


Di seguito la classe PwdCoder che effettua la codifica e il test della password:
package codificapassword; 

public class PwdCoder{
  public static String getEncodedPassword(String clearTextPassword)
                                     throws NoSuchAlgorithmException {

    MessageDigest md = MessageDigest.getInstance("SHA-256");
    md.update(clearTextPassword.getBytes());

    return HexString.bufferToHex(md.digest()); //md.digest() effettua il padding finale
  }

  public static boolean testPassword(String clearTextTestPassword, String encodedActualPassword) throws NoSuchAlgorithmException {

    String encodedTestPassword = 
                          getEncodedPassword(clearTextTestPassword);

    return (encodedTestPassword.equals(encodedActualPassword));
  }
}
Alcuni algoritmi di MessageDigest sono  MD5, CRC32,  SHA-1,  SHA-256,  SHA-384 e SHA-512.



La classe di appoggio HexString:
package codificapassword; 

public class HexString {

  static char[] hexChar = 
     {'0','1','2','3','4','5','6','7','8','9','A','B','C','D','E','F'};

  static String bufferToHex(byte[] b) {
    StringBuffer sb = new StringBuffer( b.length * 2 );

    for (int i=0; i<b.length; i++) {
      sb.append(hexChar [( b[i] & 0xf0 ) >>> 4 ]) ;
      sb.append(hexChar [b[ i] & 0x0f]) ;
    }

    return sb.toString() ;
 } 
}

Infine la classe di test:
package codificapassword; 

import java.security.NoSuchAlgorithmException; 

public class TestCodifica { 
  public static void main(String args[]) throws NoSuchAlgorithmException { 

    System.out.println(PwdCoder.getEncodedPassword("ciaoPass")); 
  } 
}
L'output di TestCodifica:
E15B9D3B76D74F9ECCCD2377A19A8780D05CB6A8F4332B8DB269BC2027778FB0

Per aumentare la sicurezza delle password ed evitare che siano facilmente svelate con le Rainbow Tables, è buona norma concatenare un salt (meglio se randomico). Per ulteriori approfondimenti sull'hashing di password e sul salting potete consultare questa pagina.

Commenti

Posta un commento

Post popolari in questo blog

Arrotondamento e troncamento in Java

Di -
DOMANDA: Facendo le divisioni tra numeri float o double mi escono cifre decimali lunghissime. Come si arrotonda o si tronca un numero in Java? RISPOSTA: Un esempio in cui questo problema si presenta in modo massivo è durante lo sviluppo applicazioni che hanno a che fare con le valute . Java mette a disposizione differenti metodi di arrotondamento e troncamento per soddisfare un po' tutte le esigenze. Una possibile soluzione ( parziale ) è l'utilizzo della libreria java.lang.Math , in particolare dei suoi 4 metodi elencati di seguito (ricordiamo che Math contiene solo static ): FLOOR - double floor(double d): questo metodo, come si evince dal nome " floor " ( pavimento ) arrotonda il numero alla cifra intera inferiore (il cosiddetto arrotondamento per difetto o troncamento). ESEMPI : double floor(4.4) -> restituisce 4. double floor(4.6) -> restituisce 4. CEIL - double ceil(double d): questo metodo, al contrario di floor si...
Continua a leggere

Eclipse: Shortcuts (scorciatoie) da tastiera

Di -
DOMANDA: Quali sono le shortcuts di Eclipse più utili? RISPOSTA: Usare le shortcuts  da tastiera migliora di molto le prestazioni di un programmatore. Di seguito sono elencate le shortcuts di default, fermo restando che potete sempre cambiarle o aggiungerne di personalizzate (in fondo al post vediamo come). Vediamo alcune delle più utili: Ctrl + spazio Autocomplete, ossia mostra i suggerimenti della parola che state scrivendo. Ctrl + 7 Commenta/Decommenta la riga corrente o la selezione di codice in blocco. Ctrl + Click Eseguito sul nome di un metodo o di una classe, apre la finestra in cui si trova il metodo o la classe ed il cursore si sposta esattamente al punto desiderato. Ctrl + Shift + R Refactoring, ossia rinomina la variabile selezionata ovunque nel workspace aggiornandone i riferimenti. Ctrl + H Cerca il testo selezionato all'interno del workspace. Utile ad esempio per sapere dove un setter o getter viene chiamato. Tab/Shift + Tab Ind...
Continua a leggere

Strutture dati: List, Set, Map

Di -
DOMANDA: Che differenza c'è fra List, Set e Map? Quale devo usare? RISPOSTA: Un Data Structure è una struttura ottimizzata per collezionare dati. List e Set sono strutture dati che estendono Collection mentre Map vive indipendentemente.  Una Collection è un contenitore di un insieme di valori, una sorta di array dinamico. A seconda dell'utilità, si possono usare diverse implementazioni dell'interfaccia Collection. Essa infine può essere tipizzata , ossia contenere solo dati di un certo tipo, tale tipo si indica attraverso i Generics (indicandolo fra parentesi angolari). Siccome il tipo è un oggetto , per esprimere primitivi come int  bisogna usare i wrapper come Integer . List Contiene dati ordinati. I duplicati sono permessi. Aggiunge un elemento: add(Object obj). Accede ad un elemento: get(int index). Rimuove un elemento: remove(Object obj) o remove(int index). Le List servono nel caso in cui i dati possano essere duplicati.  Due...
Continua a leggere

Creare un eseguibile Java

Di -
Immagine
DOMANDA: Come posso creare in Java un eseguibile equivalente al .exe tipico di Windows? RISPOSTA: Anche in Java è possibile creare un file eseguibile che può essere avviato al doppio click. Procedura semplice utilizzando l'IDE Eclipse: Fate click destro sul vostro progetto e selezionate "Export": Dalla finestra selezionate Runnable JAR file (all'interno della cartella Java): Una volta premuto Next vi si aprirà quest'altra finestra: Qui selezionerete il Launch Configuration (la vostra configurazione di run, ovvero quale classe Main avvierà il vostro programma), l'Export Destination (il path dove salvare il jar eseguibile) e come gestire le librerie necessarie (in genere l'opzione "Package required libraries into generated JAR" va benissimo). A questo punto non resta che cliccare FINISH e provare, con un bel doppio click sul JAR appena creato, se abbiamo raggiunto il nost...
Continua a leggere