我正在開發API的客戶端,該API不適合此API的普通客戶端的配置文件。此api要求用戶使用用戶/密碼對或會話密鑰進行身份驗證。然而,會話密鑰只有在用戶未在別處進行身份驗證時纔會持續。每當會話過期時讓用戶重新輸入密碼是不可行的。目前,在開發應用程序時,我一直在MySQL中以明文存儲密碼。我想爲生產客戶避免這種情況。我需要以明文形式將這些密碼發送給服務時,如何保護這些密碼?如何避免存儲我需要以純文本訪問的用戶密碼?
1
A
回答
0
使用數據庫加密來發送和接收敏感信息。
這樣,黑客也需要訪問數據庫並找出加密模式以揭示密碼。有一些軟件可以爲您做到這一點,比如ProtectDB(http://www.safenet-inc.com/data-protection/database-encryption/protect-db/)
或者您可以自己開發!
0
使用散列算法(例如SHA512(http://www.php.net/manual/en/function.hash.php))對註冊時的密碼進行加密。
然後,當用戶使用其用戶名和密碼登錄時,對密碼進行加密,並將其與數據庫中存儲的密碼進行覈對。
相關問題
- 1. SVN避免以純文本格式存儲密碼?
- 2. 存儲純文本密碼
- 3. 如何在需要實際密碼文本時存儲密碼
- 4. 避免將密碼存儲爲明文?
- 5. 如何讓django以純文本保存用戶密碼?
- 6. 使Django.contrib.auth存儲純文本密碼
- 7. 如何避免在Linux上的.odbc.ini文件中存儲用戶名/密碼?
- 8. 安全存儲密碼時仍需要訪問明文
- 9. 以純代碼避免IORefs
- 10. 如何避免在版本控制中存儲密碼?
- 11. 如何訪問SoapUI中的wsdl URL,需要用戶名/密碼?
- 12. 避免'訪問拒絕用戶root'@'localhost'(使用密碼:否)'
- 13. 我如何避免保存用戶名和密碼在PowerShell腳本
- 14. 如何在webapp中存儲需要以純文本傳遞給第三方的密碼?
- 15. Git push:如何避免多個存儲庫中的用戶名和密碼?
- 16. Firebase避免非法訪問存儲
- 17. 臨時密碼安全 - 以純文本形式存儲
- 18. 我可以以純文本形式存儲sha256哈希密碼嗎?
- 19. SharePoint站點詢問用戶名和密碼,如何避免?
- 20. 如何避免,URL.equals需要訪問Java中的互聯網?
- 21. 亞馬遜S3 - 我們需要存儲訪問和密鑰?
- 22. 調用每次調用都需要用戶名和密碼的SOAP服務。我應該如何存儲密碼?
- 23. svn - 如何保存密碼,但不是以純文本格式?
- 24. Facebook checkins,需要用戶訪問密鑰
- 25. 避免密碼
- 26. Ruby on Rails - 使用authlogic存儲純文本密碼
- 27. Silverlight - 訪問需要用戶名/密碼的肥皂服務
- 28. 需要模擬cPanel的用戶訪問/目錄密碼
- 29. 訪問需要Java密碼的網頁?
- 30. 如何以加密形式存儲用戶名和密碼?
存儲它們的哈希表,然後將該哈希與數據庫存儲的哈希進行比較? –
[Block ciphers,salt,AES,MySQL以及有關憑證存儲的最佳做法]的可能重複(http://stackoverflow.com/questions/15734892/block-ciphers-salt-aes-mysql-and-best-practices- around-credential-storage) – Brad
閱讀我鏈接到的問題的評論。 SLaks對RSA的建議要好得多,我也是在類似的情況下做的。 – Brad