如何確定我的用戶管理系統需要什麼安全級別？

Question

我知道這可能是一個很長的話題，也是無窮無盡的，但因爲我是處理和理解網站安全措施的新手段，所以我仍然不能說出我的用戶管理系統的安全性。

基於我讀過，安全等級實際上取決於什麼樣的信息將被處理，並通過網站使用。對我而言，我很可能會使用一些基本的會員/客戶信息，例如國家，全名，電子郵件以及電話號碼。

現在，我想肯定我在這裏做什麼;我正在嘗試創建一個符合此標準的用戶成員資格系統，將安全性視爲我的首要任務。我開始閱讀一些術語以及它們的用途。

如果我錯了，請糾正我。例如，在發送數據到數據庫之前正在使用加密，而在進行身份驗證時正在使用散列。現在據我所知，使用bcrypt進行哈希是最好的做法。那麼在這種情況下加密數據的最佳做法是什麼？

我不會因爲它被認爲是弱加密的方法再使用MD5。

還什麼安全的水平，我需要在我的情況？

任何好評都是讚賞。

感謝，

Answer 1

大多數時候，你會希望使用現有的軟件包來管理這些事情的時間。

你與你的假設是正確的，在數據​​庫中的機密信息應該被加密，如果不是散列。由於您不需要以明文形式檢索密碼，所以密碼應該散列化，而電話號碼應該加密，因爲您希望它在受保護的同時仍能以簡單形式訪問。

如果你堅持要從頭開始實施你的網站的安全特性，考慮blowfish或AES。

有攻擊的許多可能的載體在一個自制的加密/身份驗證套件，確保您充分利用可用的解決方案重新發明輪子之前。

---

但是，爲了回答你的問題，使用blowfish或AES，它們是固體。