Lo que tengo en este momento es el siguiente:
Hay clientes Java donde almaceno las contraseñas localmente en archivos en formato de texto limpio. Hay un punto final de REST donde almaceno todas las contraseñas en un archivo. Yo uso la autenticación HMAC. Quizás no sea el mejor almacenar la contraseña en un archivo en formato de texto limpio, pero supongo que todavía es lo suficientemente seguro ya que el archivo puede protegerse contra la lectura.
Sin embargo, la modificación del archivo de contraseña no es fácil de usar y la aplicación también debe reiniciarse. Así que pensé que podía guardar la contraseña en la base de datos y cifrarla (no hash como para HMAC, necesito la contraseña de texto limpio). Sin embargo, la contraseña todavía puede estar comprometida cuando se envía el formulario HTTP si no se usa HTTPS, por lo que tampoco es bueno.
Es posible que desee dejar los archivos de contraseña como están. ¿Podría por favor recomendarme alguna otra opción?