我目前正在構建一個設置以獲取信用卡信息。採用以下結構:改進服務器驗證中的密碼安全性
服務器1:
- MySQL用戶設置爲只讀
- 舉行的登錄憑據。
我使用PBKDF2哈希,完成與我建立在this code基礎上的類。
服務器2:
- MySQL用戶設置讀寫
- 擁有所有的客戶信用卡信息
我的問題:
如果服務器1以這種格式存儲遊說詞:alg orithm:迭代:鹽:哈希
例如:sha256:1000:Pe27BkIKkBHklogp9Io80iRKtF+6koly:nrYUwOlixwJECRcjBRKwQ+MVNMTbnYnm
如果服務器一個被攻破,但在我看來,這種格式具有密碼會使他們更容易破解密碼的網站並訪問用戶的信用卡信息。
這是我需要使用Mysql(AES_ENCRYPT()和AES_DECRYPT())的情況嗎?
我在想這個嗎?
有沒有更好的方法來保護服務器1中的信息?
更新基於評論
我建我的暖氣和空調公司制度。任何在線支付的人都可以將他們的cc信息存儲在quickbooks中,如果他們選擇的話。我有幾個大客戶,我們在辦公室按月付賬,並通過桌面終端處理cc。這些客戶端在我們的服務器上有客戶資料,他們可以訪問它們。這些是我想允許存儲cc信息的客戶端。通過這種方式,我不必將cc信息存儲在辦公室的紙張上供任何人查找。
如果確實存儲了信用卡信息*,則需要閱讀PCI文檔並遵守它。 – deceze
我實際上沒有做cc處理。我只需要將信息存儲在我的公司系統中,以便在將來通過快速在線支付進行支付 –
無論您是否正在處理與處理無關,PCI合規性是關於存儲CC詳細信息 –