如何解决加密4位数字的密码/密码-容易破解吗?
| 我目前正在开发一项服务,该服务要求用户选择4位数字的密码/密码,因为它是移动服务。我正在使用256位或2048位加密对这些密码进行加密,并且将对其进行哈希处理。输入4次错误信息后,该帐户将被阻止,并且只能通过手机输入。破解这些PIN会很难吗?我之所以这样问是因为要存储敏感信息。数据库连接到Web应用程序,使用twilio将应用程序加载到电话。我最担心的是数据库正在通过网络被黑客入侵。确保敏感数据安全的好方法是什么?解决方法
如果有人掌握了该数据库,您将大为困惑:
如果仅加密4位数的密码,则攻击者仅可以建立10000个可能的加密字符串的表,并可以对PIN进行简单解密。
如果您使用盐字符串(而不是对PIN加密,而是对PIN +盐加密,并与salt一起存储加密的(PIN +盐)),则人们必须为每个密码付出努力,但是每个密码仍然只有10000种可能性(不是很多)。
这意味着,是的,绝对应该使数据库保持不连接网络。 (如果仅通过twilio访问Web应用程序,则可以拒绝来自任何其他IP范围的连接)。
, 由于您正在使用twilio,因此只需确保twilo仅使用安全协议与您的Web服务对话,并拒绝您不确定来自受信任来源(即twilo)的任何请求。根本不需要引脚。
这是一个有关如何在Web服务器和twilo之间设置ssl的庞大网页。它甚至有一个php示例。
http://www.twilio.com/docs/security
, 如果您使用PKCS#1 1.5或2.0 RSA加密(请参阅标准),您还将加密随机填充。这意味着在传输过程中,只要填充是秘密的且确实是随机的,就无法比较PIN(这不是应该公开的盐)。
对于数据库,最好将其尽可能地移出正常操作。创建一个简单的服务,该服务仅在解密后检查PIN,确保该缓冲区上没有缓冲区溢出等,并且如果可能的话,请使用与生产服务器不同的计算机和访问权限。确实对这部分进行了很好的测试,因为界面很小,所以应该不会很难。
如果您和手机都可以使用,则可能要尝试ECC,但这不是温和的做法。 RSA加密通常使用较小的公共指数(强烈建议使用0x010001),因此它比电话的ECC更快。在服务器上(以及在密钥创建期间),ECC更快。我不建议为此使用对称加密(AES / 3DES)。
哦,并在应用程序中包含公共加密密钥(用于隐式信任),请不要从服务器发送过来。除了已经提到的服务以外,不要让私钥保密,并且不可访问。
, 您描述的界面对我来说听起来很安全。它对于ATM足够安全!
加密的PIN容易破解吗?是的,只有10000种可能的组合,并且可以对所有可能的加密值生成一个Rainbow表,除非您加盐。但是,这将需要访问加密的PIN,这意味着攻击者已经拥有您的数据库的副本。
因此,实际上您需要确保数据库服务器是安全的。有很多变量可能使其不安全,因此这是一个大问题。相反,您可以依靠第三方解决方案(例如Amazon S3或其他),并专注于编码而不是安全性。让他们努力!
, 您应该使用高质量的密码加密技术来防止黑客入侵密码。查看Wikipedia文章以了解有关盐腌的更多信息。盐条
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。