L'uso di Bcrypt per crittografare i numeri delle carte di credito soddisfa la conformità PCI?

0

Capisco che l'utilizzo di MD5 non sia sicuro e non sia conforme allo standard PCI.

L'utilizzo di BCrypt soddisfa la conformità PCI

    
posta Wael Awada 10.10.2013 - 20:32
fonte

2 risposte

4

I understand that using MD5 is not safe and is not PCI compliant.

Tristemente abbastanza, piuttosto può essere in alcuni casi: link

Does using BCrypt satisfy PCI compliance

Il problema sostanziale è che lo spazio del numero di carta di credito è così breve che la forzatura bruta è fondamentalmente sempre ragionevole. Penso che lo schema delle domande che dovresti porre sia:

  • "Sono autorizzato a memorizzare questi dati?"
  • "Qual è la soluzione più sicura per ciò che sto cercando di fare?"
  • "La soluzione mi è venuta incontro?"

Quindi, di cosa dovremmo parlare è il motivo per cui è necessario memorizzare questi dati e il modo in cui accedervi, confermando che PCI dice che è possibile archiviarli, quindi capire la risposta appropriata.

... ecco la risposta diretta:

3.4 Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:

  • One-way hashes based on strong cryptography (hash must be of the entire PAN)

... che BCrypt avrebbe soddisfatto. Ulteriori letture: link

    
risposta data 10.10.2013 - 20:49
fonte
0

Queste due domande o una? Brypt non sta utilizzando MD5 ed è una delle più potenti funzioni di derivazione della password. Tuttavia, come ogni funzione a senso unico, dovrebbe essere seminata con un segreto (salt), soprattutto se l'input è di bassa casualità, come i numeri delle carte di pagamento.

    
risposta data 10.10.2013 - 22:06
fonte

Leggi altre domande sui tag