Мне нужно сохранить учетные данные имени пользователя и пароля процессора платежного шлюза на веб-сервере производства, но предпочли бы не делать этого в ясном тексте. Каков наилучший способ хранения этих учетных данных? Являются ли их лучшими методами шифрования и дешифрования этой информации?Как безопасно хранить пароли в файле конфигурации в среде веб-сервера Ruby/Rails?
ответ
Это классическая проблема с куриным яйцом. Шифрование вообще не помогает, если вы не можете защитить ключи. И вы, очевидно, не можете.
Что я хотел бы предложить, чтобы попытаться заставить другие службы/пользователи использовать хеши в отношении вашего кода аутентификации и вместо этого сохранить эти хэши. Таким образом, в худшем случае вы потеряете хэши, но это может оказаться тяжелым (в зависимости от остальной части настройки), чтобы на самом деле использовать их злонамеренно. Возможно, вы также захотите правильно солить хеши.
Другой возможностью может быть использование внешнего хранилища аутентификации, если вы не можете принудительно использовать хеширование. Это действительно не решает проблему, но вы можете контролировать векторы атаки и сделать ее более безопасной, разрешив только очень специфический контакт с фактическим источником с важными данными.
- Магазин за пределами любого каталога, доступного в Интернете.
- Убедитесь, что только приложения имеют доступ на чтение.
- Harden server.
- 1. Безопасно передавать и хранить пароли
- 2. Как безопасно хранить пароли в базе данных?
- 3. Как безопасно хранить пароли Android KeyStore
- 4. Как безопасно хранить пароли на устройстве?
- 5. Как безопасно хранить пароли на Android?
- 6. Как безопасно хранить пароли для веб-хостинга?
- 7. Как безопасно хранить пароли для удаленных служб?
- 8. Как безопасно хранить пароли с помощью greasemonkey?
- 9. Насколько безопасно хранить строку подключения в файле конфигурации
- 10. Безопасно хранить пароли внешней базы данных
- 11. Можете ли вы безопасно хранить пароли в PHP?
- 12. Безопасные текстовые пароли в конфигурации
- 13. Безопасно ли хранить пароли в исходном коде веб-приложения?
- 14. Rails: Как я могу безопасно хранить и повторно использовать пароли
- 15. Как безопасно хранить пароли пользователей для внешнего приложения?
- 16. Безопасно ли хранить конфиденциальные настройки в файле .cs вместо Web.config?
- 17. Как безопасно хранить пароль в базе данных?
- 18. Как правильно хранить пароли *?
- 19. Как хранить многопользовательские пароли?
- 20. Хранить набор значений в файле конфигурации
- 21. Самый безопасный способ хранить пароли в php
- 22. Могу ли я безопасно хранить пароли внутри источника CGI-скрипта?
- 23. Насколько безопасно хранить пароли для использования на стороне сервера?
- 24. Насколько безопасно хранить пароли с солью и crypt()?
- 25. Как хранить ключи Encyption безопасно в файле PHP код
- 26. Хранить разные пароли в android
- 27. Как хранить данные в среде?
- 28. Как хранить пароли в таблице базы данных
- 29. Как хранить пароли в автономном режиме
- 30. Как хранить пароли в базе данных?
Имеет ли значение, если учетные данные зашифрованы? На мой взгляд, это не похоже на то, что, если злоумышленник компрометирует сервер, они также могут восстановить ключ для дешифрования всей информации. –
Да, это мое мышление. Если они компрометируют ваш сервер, они могут просто проверить ваш источник, чтобы узнать, как вы дешифруете. – thedz