Không có cách nào để đảm bảo rằng mật khẩu văn bản rõ ràng bị xóa khỏi bộ nhớ trong Java.
Tuy nhiên, tin tặc không cần quyền truy cập vào bộ nhớ của chương trình để nhận mật khẩu văn bản rõ ràng. Có nhiều cách đơn giản hơn (chẳng hạn như đánh hơi các gói dữ liệu) nên rất khó có ai dựa vào phương pháp này.
Cách tiếp cận tốt nhất là yêu cầu khách hàng mã hóa mật khẩu như @ Mork0075 đề xuất. Tuy nhiên, trong khi nó có nghĩa là bạn không thể dễ dàng nhận được mật khẩu, một chương trình vẫn có thể nhận được phiên bản mã hóa của mật khẩu và do đó giả vờ là một người sử dụng. Một cách xung quanh việc này là mã hóa toàn bộ kết nối bằng SSL.
Tất cả điều này là khá học thuật, vì cách tiếp cận đơn giản nhất cho một hacker là theo dõi các gói dữ liệu đến cơ sở dữ liệu và lấy mật khẩu cho cơ sở dữ liệu của bạn. Tôi nghi ngờ truy cập trực tiếp vào cơ sở dữ liệu của bạn có liên quan nhiều hơn ... hoặc có lẽ nó không phải là. ;)
Nguồn
2009-03-14 17:04:16
Điều này có thể giúp bảo mật mật khẩu trong quá trình đăng ký.http: //wheelersoftware.com/articles/spring-security-hash-salt-passwords.html –