Non esiste alcun modo per garantire che le password di testo in chiaro vengano rimosse dalla memoria in Java.
Tuttavia un hacker non ha bisogno di accedere alla memoria di un programma per ottenere password di testo chiare. Ci sono modi molto più semplici (come ad esempio sniffare i pacchetti), quindi è altamente improbabile che qualcuno possa fare affidamento su questo approccio.
L'approccio migliore è far crittografare il client come @ suggerisce Mork0075. Tuttavia, mentre ciò significa che non è possibile ottenere facilmente la password, un programma può comunque ottenere la versione crittografata delle password e fingere così di essere un utente. Un modo per aggirare questo è crittografare l'intera connessione usando SSL.
Tutto questo è piuttosto accademico, poiché l'approccio più semplice per un hacker è quello di monitorare i pacchetti nel database e ottenere la password per il database. Sospetto che l'accesso diretto al tuo database sia più pertinente ... o forse non lo è. ;)
fonte
2009-03-14 17:04:16
Questo potrebbe essere utile per proteggere la password durante il processo di registrazione.http: //wheelersoftware.com/articles/spring-security-hash-salt-passwords.html –