Bonjour tout le monde,
 
Alors je suis en train de faire un projet et on me demande après avoir réaliser le tutoriel suivant : http://java.sun.com/javase/6/docs/ [...] nOnly.html , de modifier le fichier SampleLoginModule.java (http://java.sun.com/javase/6/docs/technotes/guides/security/jaas/tutorials/SampleLoginModule.java) afin qu'il puissent lire dans un fichier le nom et les passwords de personnes de façon sécurisé.
 
De façon condensé, on me demande de récupérer dans un fichier de donnée le nom et password d'utilisateurs tout en respectant la confidentialité et l'intégrité des password stockés dans le fichier.
 
Ma question est la suivante : Quels sont les mécanismes de sécurité à implémenter pour satisfaire à la fois la confidentialité et l'intégrité des password??
 
Je pensais à crypter le fichier mais je ne sais pas s'il vaut mieux utiliser dans ce cas précis un cryptage symétrique ou asymétrique!? et est ce que c'est suffisant pour satisfaire toute les exigences demandées?? Il faut certainement créer un contrôle d'accès au fichier de tel façon qu'il ne puisse être effacé?? Quel est la meilleur façon de faire?? Sachant que je pense que juste restreindre les droits d'accès au fichier ce n'est pas sécurisé de façon optimale (enfin je sais pas trop!) l'accès?? Peut être il y a qu'il y d'autres façons de faire!?
 
Merci d'avance.
 
ps : je cherche juste des réponses (ou indices) théoriques ou des liens, tuto qui peuvent m'aider, je ne demande pas qu'on code à ma place, ça j'essaierai de le faire ... si j'y arrive

personne n'a d'idées?

Si tu n'as pas besoin de relire un pass entré je te dirai de ne stocker que leur signature (hash md5 par exemple ou en le modifiant pour qu'il soit plus difficile de le casser) comme on fait pour les forums par exemple.
Après si tu veux pouvoir relire un pass en clair pour par exemple le redonner à l'utilisateur là ça devient plus complexe déjà.

Je vote pour la même suggestion que Deamon.
Tu connais certainement le fichier /etc/passwd sous Linux. Il ne stocke plus les mots de passe mais uniquement les hash de ceux-ci. Quand l'utilisateur entre un mot de passe, on calcule son hash et on le compare à celui stocké dans le fichier.
 
Le hash est un algorithme à sens unique, on ne peut donc pas retrouver un mot de passe à partir de son hash donc on préserve la confidentialité des données. Et on n'en a pas besoin: en cas d'oubli du mot de passe, on en génère un nouveau et on offre à l'utilisateur la possibilité de le changer.

Comme algorithme de hash je te conseille le SHA qui est plus robuste que le MD5 et disponible en standard en Java.