Jasypt : 마스터 비밀번호가 안전합니까?

Question

동료들, 저는 스프링 부트 프로젝트 (Windows에서 실행되는 독립 실행 형 jar)에서 Jasypt를 사용했습니다. jar를 실행하려면 명령 줄을 통해 마스터 비밀번호를 전달해야합니다. 그것은 다음과 같습니다

java -jar -Djasypt.encryptor.password=masterpass app-1.0.0-RELEASE.jar

그래서 누군가가 Windows 작업 관리자를 통해 masterpass을 볼 수

방법이 masterpass을 확보하기 위해?

나는 Windows 환경 변수에 마스터 암호가 저장되어있는 예제를 발견했으나 좋은 생각은 아닙니다.

Answer 1

일반적으로 클라이언트 워크 스테이션에서 실행할 때 아무 것도 숨기 어렵습니다. 결국 암호/키가 암호화 될 때 암호/개인 키를 어딘가에 저장해야합니다./

데이터를 암호화/암호화하여 더 어렵게 만들 수는 있지만 일단 바이너리와 구성이 클라이언트에 있으면 측면에서, 당신은 전용 적을 쉽게 멈추지 않을 것입니다.

최소한 (환경 또는 명령 줄에서) 비밀번호를 보이고 싶지 않은 경우 - 파일에서 마스터 비밀번호를 읽고 다른 것을 실행하기 전에 main에 시스템 속성을 설정하는 방법은 무엇입니까?

(작동하는지 알려주세요)