我有一個密碼來解密使用我的rails應用程序中的公鑰的數據。如何存儲密碼以解密安全數據?
當用戶嘗試去特定菜單(例如「發票」)以解密合理數據時,我向用戶詢問「密碼」。
不建議將密碼直接存儲到用戶會話/ cookie(出於安全原因)。
那麼,沒有安全漏洞的情況下存儲此密碼短語的最佳方式是什麼?
我有一個密碼來解密使用我的rails應用程序中的公鑰的數據。如何存儲密碼以解密安全數據?
當用戶嘗試去特定菜單(例如「發票」)以解密合理數據時,我向用戶詢問「密碼」。
不建議將密碼直接存儲到用戶會話/ cookie(出於安全原因)。
那麼,沒有安全漏洞的情況下存儲此密碼短語的最佳方式是什麼?
假設:
我會做類似如下。
當他們想看看一些數據,那麼:
如果你想額外的安全性,你可以定期輪流會話密鑰,以確保即使攻擊者設法得到別人的會話加密的數據類型的時候,就不得不在妥協應用程序本身同時爲了獲得相關的會話密鑰。
這可能會過度複雜,以滿足您的需求。如果不是的話,請記住我不是密碼學家,所以使用這個需要您自擔風險,並且如果您擔心的話,找一個真正瞭解他們在幹什麼的人!
希望有所幫助。
你能解釋一下你想存儲多長時間嗎?你是否需要跨越請求存儲它,還是比這更長遠?他們是否需要對所有數據進行解密,或者一次只進行一次? – 2011-04-28 15:58:20
我需要存儲我的密碼。當用戶會話過期時,用戶需要再次輸入正確的密碼才能訪問合理的數據。 – 2011-04-28 16:07:21
如果這是一個Rails Web應用程序,用戶是否通過不安全的http連接發送他的密碼短語?如果是這樣,攻擊者可以捕獲並冒充用戶。爲什麼不能用https保護此通信? – 2011-04-28 17:39:30