Il problema : alcuni ambienti devono utilizzare credenziali di testo normale o token di lunga durata per sbloccare una funzionalità specifica. Gli esempi includono
- servizi legacy di terze parti che richiedono un login / password per l'autenticazione (non supportano oAuth, OpenID, token a breve termine o soluzioni simili e non possono essere adattati)
- sblocco di un deposito crittografato che richiede l'immissione di una password all'avvio dell'applicazione
C'è un modo per attivare questi servizi a livello di codice, ma questo richiede di presentare credenziali in chiaro.
Qual è l'attuale posizione consensuale sulle soluzioni per l'archiviazione di tali credenziali?
Una soluzione è crittografarli, con modi più o meno elaborati per disconnettere la chiave di crittografia dal codice. Non voglio che i team incaricati di questa parte del progetto inventino la loro soluzione in quanto è probabile che sia debole. Gradirei qualsiasi suggerimento se c'è qualcosa di tangibile su quell'argomento (non mi piaceva nulla, OWASP non ha nemmeno prova a suggerire che questo è accettabile, il che è comprensibile ma non molto utile).
Ho anche visto che sono suggeriti HSM s ma non riesco a capire come facilitano il recupero della chiave / credenziali (Capisco il loro valore come archivi di dati sicuri).