Tengo que almacenar la contraseña en algún otro sistema en el archivo de configuración en mi aplicación Java (aplicación web que se ejecuta en Tomcat). ¿Cuáles son mis opciones para protegerlo (tanto en reposo como en la memoria)? (Hash no es una opción)
en reposo: si cifraré la contraseña en el archivo de configuración, ¿dónde almacenaré una clave? en otro archivo de configuración? no suena bien ... No quiero codificarlo en el código.
en la memoria: leí que no debería usar String sino char [], pero aún así, si alguien descarga la memoria, tendrá la contraseña. ¿Tiene Java algo como SecureString en .Net?
Gracias