Шифрование паролей с помощью Spring/Hibernate — Jasypt или что-то еще?

В Java уже есть все необходимые библиотеки. Просто создайте служебный метод, реализующий хеширование с солью, как описано в OWASP.

Если вы действительно не хотите владеть этим кодом и не возражаете против дополнительной зависимости, кажется, что Библиотека Shiro (ранее JSecurity) содержит реализация того, что описано в OWASP.

Также похоже, что упомянутая вами библиотека JASYPT имеет похожая утилита.

Я понимаю, что в этом ответе не упоминаются Spring или Hibernate, но я не понимаю, как вы надеетесь использовать их в этом сценарии.

Вы можете использовать Jasypt с Hibernate для шифрования или хеширования ваших свойств на лету, если это то, что вам нужно. находясь в поиске. Фактический алгоритм вычисления дайджестов (хэшей) довольно прост с использованием JCE, если вы также хотите свернуть свой собственный.

Подойдет MD5 или SHA-256, хотя сейчас MD5 можно взломать.

Возможно, я неправильно понял проблему, но это должно быть просто сравнение хешированных паролей.

В спящем режиме просто сохраните как строку. На стороне проверки есть такой метод, как:

public validate(String user, String pass)
{
    if(getUser(user).getPass().equals(getHash(pass)))
        return true;
    return false;
}

Кажется, нет специального способа Hibernate сделать это с Jasypt, но вы можете настроить шифратор паролей в Spring:

  <!-- 
   Set up string digester here so we can configure it for more pools if it's a problem... 
  -->
  <bean id="stringDigester" class="org.jasypt.digest.PooledStringDigester">
    <!-- same settings as StrongPasswordGenerator -->
    <property name="poolSize" value="2"/>
    <property name="algorithm" value="SHA-256"/>
    <property name="iterations" value="100000"/>
    <property name="saltGenerator">
      <bean class="org.jasypt.salt.RandomSaltGenerator"/>
    </property>
    <property name="saltSizeBytes" value="16"/>
  </bean>

  <!-- ...and then we only have to deal with the passwordEncryptor interface in code. -->
  <bean id="passwordEncryptor" class="com.myproject.util.StringPasswordEncryptor">
    <property name="stringDigester" ref="stringDigester"/>
  </bean>

После этого вы вызываете context.getBean("passwordEncryptor"), чтобы получить шифровальщик, а затем вызываете encryptPassword() или checkPassword().

Если вы используете Spring в своем приложении, вы также можете использовать Spring Security, который предоставляет вам с несколькими кодировщиками паролей, например ShaPasswordEncoder Вы можете найти его на StackOverflow

Я просто использую что-то похожее на SHA-256(username + ":" + password + ":" + salt) и сохраняю его в базе данных в 64-символьном столбце с именем passwd.

Википедия говорит о солях: «Данные с солью усложняют атаки по словарю, которые используют предварительное шифрование записей словаря: каждый используемый бит соли удваивает объем памяти и требуемых вычислений. ... Для лучшей безопасности значение соли держится в секрете, отдельно от базы данных паролей. Это дает преимущество, когда база данных украдена, а соль — нет».

Таким образом, для аутентификации получите пользователя из базы данных с предоставленным именем пользователя, затем сгенерируйте тот же хэш, используя пароль, предоставленный при попытке входа в систему, и сравните его с тем, что находится в базе данных. Также добавьте некоторое ограничение скорости для попыток входа в систему (например, 5 за 5-минутный период). Если пользователь забудет свой пароль, НИКОГДА не отправляйте ему по электронной почте пароль (поскольку он не будет сохранен) и не отправляйте ему по электронной почте новый сгенерированный пароль, а отправляйте ему по электронной почте ссылку для изменения этого пароля с помощью ключа смены пароля/одноразового номера/соли в URL-адрес, который вы можете проверить.