Sto creando un sito che permetterà agli utenti di inserire il loro numero di conto bancario in modo da poterli pagare per i loro servizi. Sono lontano da un esperto di sicurezza e vorrei avere alcune informazioni sulle migliori pratiche per la crittografia di questi dati.
Finora ho capito che al minimo avrei dovuto avere una crittografia a 256 bit con un salt. Quali altre misure posso prendere o sarebbe sufficiente per un numero sufficiente di misure di sicurezza?
Grazie
Probabilmente dovresti convincere qualcuno con maggiore sicurezza a guardare sul tuo sito per assicurarti che le cose siano implementate correttamente e per progettare la tua sicurezza per te. Costruire un sistema che possa proteggere in sicurezza le informazioni bancarie richiede molte conoscenze diverse e, senza offesa, la tua stessa domanda dimostra che probabilmente hai poca esperienza in merito.
La crittografia non usa sale, usa una flebo. I sali sono usati con gli hash. I vettori di inizializzazione assicurano che crittografie diverse delle stesse informazioni risultino in diversi cyphertexts (per impedire che lo stesso valore criptato sia riconoscibile come lo stesso). Oltre alla crittografia per i dati, avrete bisogno di una configurazione sicura dell'account, avrete bisogno di prevenire contro l'injection sql e lo scripting cross-site, avrete bisogno di verificare un sacco di cose sul vostro ambiente server e sulla rete in cui si trova, avrete bisogno di per configurare il monitoraggio delle intrusioni.
C'è un gran numero di cose che vanno ben al di là di ciò che possiamo dirvi in modo sufficientemente dettagliato su questo sito in una sola risposta e ci sono molte insidie che possono verificarsi in base a come scrivi il tuo codice in modo specifico. Hai davvero bisogno che qualcuno lavori direttamente con te se stai costruendo la tua applicazione per questo da zero.
Dovresti usare un processore di pagamento. Forniscono comunicazioni crittografate (https) tra il cliente e il processore di pagamento. Paypal ad esempio utilizza la crittografia TLS RSA AES-256 SHA. Confronta le tariffe, le disposizioni e la reputazione degli altri fornitori per trovare il meglio per le tue esigenze.
Il pagamento è una parte molto delicata nel processo di ordinazione. Se i clienti potrebbero perdere denaro, poiché il gateway di pagamento che hai fornito ha gravi problemi di sicurezza, potresti essere facilmente ritenuto responsabile dei danni. Quindi assumi un programmatore professionista o scegli un processore di pagamento che consiglierei.
Leggi altre domande sui tag encryption