加密4位数字的密码/密码-容易破解吗？

        如果有人掌握了该数据库，您将大为困惑： 如果仅加密4位数的密码，则攻击者仅可以建立10000个可能的加密字符串的表，并可以对PIN进行简单解密。 如果您使用盐字符串（而不是对PIN加密，而是对PIN +盐加密，并与salt一起存储加密的（PIN +盐）），则人们必须为每个密码付出努力，但是每个密码仍然只有10000种可能性（不是很多）。 这意味着，是的，绝对应该使数据库保持不连接网络。 （如果仅通过twilio访问Web应用程序，则可以拒绝来自任何其他IP范围的连接）。     ,        由于您正在使用twilio，因此只需确保twilo仅使用安全协议与您的Web服务对话，并拒绝您不确定来自受信任来源（即twilo）的任何请求。根本不需要引脚。 这是一个有关如何在Web服务器和twilo之间设置ssl的庞大网页。它甚至有一个php示例。 http://www.twilio.com/docs/security     ,        如果您使用PKCS＃1 1.5或2.0 RSA加密（请参阅标准），您还将加密随机填充。这意味着在传输过程中，只要填充是秘密的且确实是随机的，就无法比较PIN（这不是应该公开的盐）。 对于数据库，最好将其尽可能地移出正常操作。创建一个简单的服务，该服务仅在解密后检查PIN，确保该缓冲区上没有缓冲区溢出等，并且如果可能的话，请使用与生产服务器不同的计算机和访问权限。确实对这部分进行了很好的测试，因为界面很小，所以应该不会很难。 如果您和手机都可以使用，则可能要尝试ECC，但这不是温和的做法。 RSA加密通常使用较小的公共指数（强烈建议使用0x010001），因此它比电话的ECC更快。在服务器上（以及在密钥创建期间），ECC更快。我不建议为此使用对称加密（AES / 3DES）。 哦，并在应用程序中包含公共加密密钥（用于隐式信任），请不要从服务器发送过来。除了已经提到的服务以外，不要让私钥保密，并且不可访问。     ,        您描述的界面对我来说听起来很安全。它对于ATM足够安全！ 加密的PIN容易破解吗？是的，只有10000种可能的组合，并且可以对所有可能的加密值生成一个Rainbow表，除非您加盐。但是，这将需要访问加密的PIN，这意味着攻击者已经拥有您的数据库的副本。 因此，实际上您需要确保数据库服务器是安全的。有很多变量可能使其不安全，因此这是一个大问题。相反，您可以依靠第三方解决方案（例如Amazon S3或其他），并专注于编码而不是安全性。让他们努力！     ,        您应该使用高质量的密码加密技术来防止黑客入侵密码。查看Wikipedia文章以了解有关盐腌的更多信息。盐条