Jay*_*ire 4 database security encryption mobile twilio
我目前正在开发一项服务,要求用户选择一个4位数的密码/密码,因为它是一种移动服务.我使用256或2048位加密对这些密码进行加密,然后进行哈希处理.该帐户在4次错误输入后被阻止,并且只能通过手机输入.破解这些PIN会难吗?我问这个是因为存储了敏感信息.数据库连接到Web应用程序,应用程序使用twilio加载到手机.我最害怕的是数据库正在通过网络被黑客攻击.什么是保持敏感数据安全的好方法?
小智 6
如果有人掌握了数据库,你就会被搞砸了:
如果您只加密4位密码,攻击者只需构建一个包含10000个可能加密字符串的表,并可以轻松解密PIN.
如果您使用盐字符串(并且不加密PIN,但加密+盐和加密(PIN +盐)加密盐),人们必须按密码进行操作,但每个密码仍然只有10000种可能性(不是很多).
这意味着,无论如何,您应该将数据库保持在网络上.(如果仅通过twilio访问Web应用程序,则可以拒绝来自任何其他IP范围的连接).