如何爲使用SAML登錄的用戶最好地加密靜態數據？

Question

我有一個Web應用程序，它允許用戶使用他們自己的身份提供程序進行SAML身份驗證。我在我的應用程序的數據庫中有字段，我想確保只有授權用戶才能解密（系統的開發人員/管理員不會被隱式授權）。對於使用密碼登錄的用戶來說，這很容易 - 創建一個RSA密鑰對，其中私鑰使用其登錄密碼進行加密，如果密碼發生更改，則更新密鑰鏈。但是，如果沒有登錄密碼，這是如何完成的，因爲用戶已通過SAML認證？

Answer 1

我不想告訴你這一點，但我不認爲你的安全選項（派生密鑰）都是安全的。

現實情況是，一個管理員可以做的非常糟糕的事情在這裏......包括：在F/E

• 注入代碼，並在飛行
竊取密碼
• 竊取數據，並做了字典攻擊對數據庫直接猜測許多可能的密鑰來解鎖數據（知道密碼設置是相對較小的）

國際海事組織只是從密碼派生密鑰是不夠的。如果您想將其視爲「最佳做法」，則需要提高標準。理想情況下，你可以用一個解決方案解決這兩個問題，但如果你使用密碼作爲源（或派生密碼哈希），那麼它可能是不可能的。