Memorizzazione del database delle password sul server offline

2

Questo database di password si trova sul server di autenticazione che è connesso a Internet.

La mia domanda è che se il database delle password è memorizzato su un server diverso da quello della macchina connessa a Internet, impedirà la violazione del database?

La macchina connessa alla rete può caricare i dati dal database delle password utilizzando la rete locale come e quando necessario.

In questo caso, quali scenari non impediscono la violazione?

    
posta Curious 29.09.2014 - 13:44
fonte

2 risposte

1

No, non aggiungerebbe altro che sicurezza per oscurità che non è una gran cosa, ti darà delusioni di strong sicurezza.

A seconda del livello di accesso della persona al server di rete, è ancora banale arrivare al database. per non parlare di ciò che è probabilmente la maggior parte delle volte, le violazioni si verificano con l'iniezione SQL che causerebbe comunque problemi in quanto il server che si affaccia sulla rete agirà semplicemente come proxy per i dati inviati dall'utente appositamente predisposti e il ritorno dal server. se l'utente malintenzionato dovesse ottenere, ad esempio, l'accesso alla shell al computer con la rete, potrebbe semplicemente connettersi manualmente al server del database sulla rete locale e provocare il caos.

    
risposta data 29.09.2014 - 14:02
fonte
0

In realtà è tipico avere un database dietro un firewall interno a cui possono accedere solo le applicazioni semi-attendibili e le reti interne specifiche.

Non impedisce una violazione, ma penso di capire cosa vorresti ottenere, e questa è la restrizione di accesso da cosa sta accedendo al database.

Se hai archiviato le tue password nel loro schema (password passate invece di dbo.passwords), puoi limitare l'accesso allo schema del pass a qualsiasi cosa desideri.

Tecnicamente le applicazioni non hanno necessariamente bisogno di accedere alle tabelle in cui sono archiviate le password, ma hanno bisogno dei sali, che non sono comunque un segreto. In modo che tu possa memorizzare i sali nella tabella dbo.user, ma la password effettiva nella tabella pass.passwords.

Potresti dare alle tue applicazioni l'accesso ai proc memorizzati, uno dei quali potrebbe essere dbo.Authenticate(userId, hash) , e limitare l'accesso allo schema del pass a una rete interna offline e limitato a utenti specifici.

E non credo che la restrizione dell'accesso sia considerata offuscata.

    
risposta data 29.09.2014 - 19:44
fonte

Leggi altre domande sui tag