Sam*_*rum 3 encryption key-storage
我有一个存储登录信息的表,例如loginID,password,logTime,...我创建了2个存储过程:一个用于加密,另一个用于比较密码.加密和比较密码需要一把钥匙.我想知道我应该把钥匙放在哪里.如果我放入商店程序或我的应用程序,我的开发团队将能够看到它.我想知道保持关键的最佳做法.请指教.
谢谢.
存储身份验证凭据的用例有很多种,每种用例都需要不同的解决方案:
如果凭据是用于登录系统的用户,那么最佳做法是根本不存储密码.而是创建密码的单向加密哈希,并存储它.当用户尝试登录时,散列提供的密码并将结果与存储的散列进行比较.哈希应该包含每次用户密码更改时更改的"salt".如果他们设法窃取您的系统的哈希密码文件,这使得某人更难以应用暴力攻击来反转哈希码.
如果凭据是针对登录到第三方系统的用户,则可以生成用于登录系统的用户密码的不同单向哈希,并将其用作对称密码的密钥,用于加密/解密存储的用户凭据.再一次,核心原则是您不存储解密用户凭据所需的信息.在这种情况下,您不应存储用作密钥的哈希.
如果凭据用于系统向其他系统验证自身,则通常的解决方案是使用密钥库,并依靠主机操作系统来保护它以及用于解锁密钥的密钥短语.(如果有更好的解决方案,我真的很想听听它!)
将用户密码以明文或加密方式存储是一个坏主意,因为总有可能有人可以闯入它们.即使密码是加密的,解密密钥也必须存储在某处.一个坚定的黑客可能会找到它.或者,可以说服受信任的管理员泄露密码和/或解密密钥.通过存储哈希而不是密码,即使您的数据库和/或应用程序的密钥库受到威胁,您也可以获得额外的保护.
等式的第二部分是许多用户对许多系统使用相同的密码.因此,如果您的系统被泄密以泄露密码,您可能会在其他系统上公开用户的帐户.