Capisco che l'utilizzo di MD5 non sia sicuro e non sia conforme allo standard PCI.
L'utilizzo di BCrypt soddisfa la conformità PCI
Capisco che l'utilizzo di MD5 non sia sicuro e non sia conforme allo standard PCI.
L'utilizzo di BCrypt soddisfa la conformità PCI
I understand that using MD5 is not safe and is not PCI compliant.
Tristemente abbastanza, piuttosto può essere in alcuni casi: link
Does using BCrypt satisfy PCI compliance
Il problema sostanziale è che lo spazio del numero di carta di credito è così breve che la forzatura bruta è fondamentalmente sempre ragionevole. Penso che lo schema delle domande che dovresti porre sia:
Quindi, di cosa dovremmo parlare è il motivo per cui è necessario memorizzare questi dati e il modo in cui accedervi, confermando che PCI dice che è possibile archiviarli, quindi capire la risposta appropriata.
... ecco la risposta diretta:
3.4 Render PAN unreadable anywhere it is stored (including on portable digital media, backup media, and in logs) by using any of the following approaches:
- One-way hashes based on strong cryptography (hash must be of the entire PAN)
... che BCrypt avrebbe soddisfatto. Ulteriori letture: link
Queste due domande o una? Brypt non sta utilizzando MD5 ed è una delle più potenti funzioni di derivazione della password. Tuttavia, come ogni funzione a senso unico, dovrebbe essere seminata con un segreto (salt), soprattutto se l'input è di bassa casualità, come i numeri delle carte di pagamento.
Leggi altre domande sui tag encryption hash pci-dss