Modello / scenario delle minacce
Mi preoccupo di un modello di thread, in cui determinati dati sensibili vengono archiviati in un database. Non è così sensibile come le informazioni o le password della carta di credito, ma numeri di telefono, indirizzi e-mail e simili. Supponiamo che temo una perdita di database, in cui un utente malintenzionato in qualche modo può leggere più informazioni di quelle a lui consentite dal database. Cosa può fare uno come amministratore contro questo?
Ciò che ho considerato
Supponiamo di mantenere aggiornato il software che organizza e distribuisce i dati e di correggere ogni vulnerabilità alla stessa velocità di una patch.
Ho considerato che potremmo crittografare i dati sensibili con, ad esempio, la password degli utenti. (Non l'hash memorizzato nel database). Il consenso tuttavia è che non è buona pratica salvare i dati crittografati in un database. Inoltre, i dati andrebbero persi se un utente dimenticasse la sua password.
Ho anche preso in considerazione la crittografia di tutti i dati con una chiave memorizzata nell'ambiente del sistema operativo, ma questo probabilmente non sarebbe di aiuto nei confronti di perdite sotto forma di ad es. Iniezioni SQL, a meno che non si mantengano i dati crittografati finché un utente non esegue l'accesso e quindi decrittografa solo la parte degli utenti dei dati finché non si disconnette nuovamente.
Quindi la mia domanda è, quale sarebbe un modo sensato di andare nello scenario di cui sopra?