я занимаюсь разработкой андроида приложения, которое должно быть PCI PA-DSS совместимым, мой вопрос об этом требовании в документе PA-DSS_v3-1счетов передачи пароля и соответствие PCI DSS
3.3.1 Использование сильная криптография, чтобы все пароли приложений для платежей не читались во время передачи.
Предположим, у меня есть функция «изменить свой пароль» в моем приложении, которое передает пароль учетной записи пользователя через зашифрованное соединение ssl/tls с сервером. Является ли это шифрование достаточным для выполнения требования? мне нужно реализовать какое-то шифрование перед отправкой его через ssl?
спасибо.
Маленькая птичка говорит мне, что требуется дополнительное шифрование, но не видели ее в документах. Но я могу остаться советом PCI в [временах взлома пароля] (https://www.pcisecuritystandards.org/pdfs/its_time_to_change_your_password_infographic.pdf?agreement=true&time=1467522615644) - это чистая BS, кажется, что они не знают о [списках паролей] (https://github.com/danielmiessler/SecLists/tree/master/Passwords) или [cracking tools] (http://resources.infosecinstitute.com/10-popular-password-cracking-tools/). – zaph