Va bene archiviare i tasti beta monouso in testo semplice?

Naviga le tue risposte
2

Va bene archiviare chiavi beta monouso in testo normale nel database? Sarò pre-generando e memorizzando circa 2 chiavi. Le chiavi vengono passate in modo che le persone possano iscriversi con esso, piuttosto che consentire alle persone a caso di registrarsi.

L'unica cosa negativa è che se qualcuno potrebbe rubare tutte le chiavi beta con un db dump, se ciò dovesse accadere. La protezione temporanea può essere sottoposta a un hashing con bcrypt, quindi confrontando l'hash dell'ingresso dell'utente con l'hash della chiave (come una password), ma in tal modo la pre-generazione di chiavi 2M e l'hashing di tutto sarebbe troppo lento.

    
posta eeiso 20.02.2015 - 06:35
fonte

1 risposta

1

Nella tua domanda hai identificato una potenziale minaccia. Se ritieni che questa minaccia sia reale e avrebbe un impatto sufficientemente negativo sulle tue operazioni se fosse sfruttata, dovresti adottare misure aggiuntive come suggerisci nella tua domanda.

Se stai dicendo che le chiavi in questo caso sono identificatori univoci che non vuoi vengano esposti, potresti aver bisogno di utilizzare l'hashing e la crittografia, se necessario. Se è necessario archiviare le chiavi e utilizzare lo stesso DB per assegnarle, non è possibile eseguirne l'hash poiché non sarebbe possibile annullarle per distribuirle. Dovresti crittografarli.

Il vantaggio della pre-generazione supera il rischio che vengano compromessi e il costo di creare le chiavi al volo? Potrebbe essere più sensato crearli su richiesta e esaminare le soluzioni per i token di verifica e-mail e il modo in cui vengono gestiti poiché sembra che tu stia facendo qualcosa di simile.

    
risposta data 20.02.2015 - 22:23
fonte

Leggi altre domande sui tag

Perché le mie informazioni SSO dovrebbero essere memorizzate nella cache del mio iphone? Sicurezza dello schema di crittografia ibrido