Utilizzo della password dell'account (login) nel PDF generato?

Naviga le tue risposte
6

Da quando ho sentito parlare di programmazione, mi è stato detto che qualsiasi password (specialmente quella utilizzata per il login) dovrebbe essere archiviata nel database usando qualsiasi tipo di algoritmo di hashing unidirezionale, e mai come una semplice stringa. Quindi, non può essere letto direttamente dal database, utilizzando qualsiasi metodo.

Oggi ho notato che la mia banca (dipartimento nazionale del Gruppo Citi) utilizza la password del mio account (login) per proteggere con la password i PDF generati alla fine di ogni mese.

Sono curioso: stanno violando uno dei più importanti problemi di sicurezza e stanno memorizzando le password in formato testo in DB? O esiste un modo per utilizzare la password hash dal DB per proteggere PDF generato da password?

Per quanto mi dice la mia conoscenza limitata, questo non è possibile. E per utilizzare in PDF la stessa password di accesso, deve essere effettivamente letto dal DB su generazione PDF, che porta a una conclusione, che viene memorizzato lì come stringa di testo semplice.

Questa è una domanda di carattere generale, sui concetti di programmazione, non relativi a un particolare linguaggio o tecnica, quindi presumo, dovrebbe essere richiesto qui, non in StackOverflow.

    
posta trejder 30.07.2012 - 09:11
fonte

1 risposta

3

Non c'è nulla all'interno del tuo scenario che dice che l'organizzazione sta memorizzando le password in testo semplice.

C'è un numero di opzioni a cui posso pensare di sfuggita.

  • Potrebbero fare affidamento sulle funzionalità di crittografia del loro database. Questo è reversibile e renderebbe la tua password disponibile per altra crittografia.
  • Potrebbero essere in esecuzione il proprio algoritmo di crittografia (simmetrico o asimmetrico) sulla password per proteggerlo. Di nuovo, questo è reversibile.
  • Potrebbero memorizzare la password durante la sessione di accesso e utilizzarla per generare i file PDF di fine mese. Non è una grande idea, ma renderebbe la tua password facilmente disponibile. Non devi necessariamente sapere quando quei rapporti sono generati. Potrebbe essere uno scenario just-in-time basato sul tuo accesso.
  • Possono anche utilizzare lo stesso meccanismo di hashing utilizzato dai PDF crittografati, quindi devono solo utilizzare il risultato dell'hash per crittografare il PDF. Ciò richiederebbe un maggiore sforzo da parte loro, ma non è completamente non plausibile.

O forse lo stanno memorizzando in testo normale da qualche parte.

Non saltare alle conclusioni senza raccogliere prove sufficienti per analizzare correttamente la situazione. Direi che in questo caso ci sono un certo numero di percorsi che potrebbero seguire che lascerebbero la tua password protetta, ma comunque ti forniranno la possibilità di crittografare i tuoi rapporti con la tua password di accesso.

    
risposta data 30.07.2012 - 16:56
fonte

Leggi altre domande sui tag

Come sviluppo l'applicazione di utilizzo del database in modo agile / basato sullo sviluppo di test? È sicuro scaricare VS11 / .NET4.5 beta e distribuire ancora su server con .NET 4.0?