我目前正在开发一项服务,要求用户选择一个4位数的密码/密码,因为它是一种移动服务.我使用256或2048位加密对这些密码进行加密,然后进行哈希处理.该帐户在4次错误输入后被阻止,并且只能通过手机输入.破解这些PIN会难吗?我问这个是因为存储了敏感信息.数据库连接到Web应用程序,应用程序使用twilio加载到手机.我最害怕的是数据库正在通过网络被黑客攻击.什么是保持敏感数据安全的好方法?
我和这个安全人员一直在讨论.他可能是我为新项目付出的最多钱.无论如何,它是一种保存用户可以通过电话请求的敏感数据(密码,PIN)的服务.用户有一个密码(4位数),用于访问敏感数据.安全人员告诉我他将使用MD5来散列用于访问敏感数据的密码.在这里,讨论开始,正如我所想,并且非常肯定,MD5太脆弱了,因为它已经被破解/碰撞.
应该使用什么散列方法来散列保护敏感信息的密码?我觉得这项服务可能成为黑客的高价值目标,所以我真的很担心.我开始担心安全人员要提供的整体质量,特别是服务的安全性,但不知道在哪里可以找到其他人.