Erişim belirteci güvenli bir şekilde kaydetme

Question

Veritabanımın güvenliği ihlal edildiğinden, uzun ömürlü erişim belirteçlerinin çalınamadığından emin olmak için hangi güvenlik önlemlerini almalıyım?

Uzun ömürlü erişim belirteci

belirli bir hizmet için bir kullanıcı adı ve şifre olarak, ancak düz metin olarak en (ben dahil) mağaza erişim belirteçleri görünüyor başkalarına konuşmasını kadar iyidir. Bu, düz metin içinde bir parola saklamak kadar kötü gibi görünüyor. Açıkçası, bir kimse & no'lu tuzu atlatamaz.

İdeal onları şifrelemek isterdim ama özellikle bir açık kaynak projesi üzerinde, bunu yapmanın en iyi yolu emin değilim.

Bu sorunun cevabı ödeme bilgilerini ve PCI uyumu saklanmasıyla ilgili birine benzer hayal, ama bu değil daha fazla bilgi verilecektir Ayrıca neden sorardım? Belki bir şey özlüyorum.

Answer 1

Sadece başkaları tarafından sağlanan bir jetonu doğrulamak istiyor musunuz? Eğer öyleyse, bir şifre gibi davran. 10.000 yineleme ile Password Based Key Derivation Function 2 (PBKDF2) (RFC 2898 da açıklanan) gibi bir bayt türetme algoritması kullanın ve ilk 20 bayt veya benzeri saklayın. Jeton alındığında. Pratik olarak geri döndürülemez.

Kimlik doğrulaması için belirteci başkalarına sunmak ister misiniz? Eğer öyleyse, bu bir meydan okumadır çünkü eğer uygulamanız şifreyi çözebilirse ya da başka bir şekilde belirtecine erişebilirse, bir saldırgan olabilir. Shannon'ın Maxim'i düşünün, saldırgan sistemi açık bir proje için özellikle biliyor.

Bu durumda, en iyi yaklaşım güçlü bir algoritma (örn. AES256) ile tokenleri şifrelemek, güçlü bir kriptografik standart rasgele sayı üreteci kullanarak anahtarlar oluşturmak ve anahtar (lar) ı verileri başka bir yere güvenli bir şekilde saklamaktır. Yukarıdaki örnekte veritabanının dışında izin korumalı bir dosyada olduğu gibi. İkincisi, SQL enjeksiyon saldırılarının anahtarları ortaya çıkarmayacağı anlamına gelir.