我有一个密码来解密使用我的rails应用程序中的公钥的数据。如何存储密码以解密安全数据?
当用户尝试去特定菜单(例如“发票”)以解密合理数据时,我向用户询问“密码”。
不建议将密码直接存储到用户会话/ cookie(出于安全原因)。
那么,没有安全漏洞的情况下存储此密码短语的最佳方式是什么?
我有一个密码来解密使用我的rails应用程序中的公钥的数据。如何存储密码以解密安全数据?
当用户尝试去特定菜单(例如“发票”)以解密合理数据时,我向用户询问“密码”。
不建议将密码直接存储到用户会话/ cookie(出于安全原因)。
那么,没有安全漏洞的情况下存储此密码短语的最佳方式是什么?
假设:
我会做类似如下。
当他们想看看一些数据,那么:
如果你想额外的安全性,你可以定期轮流会话密钥,以确保即使攻击者设法得到别人的会话加密的数据类型的时候,就不得不在妥协应用程序本身同时为了获得相关的会话密钥。
这可能会过度复杂,以满足您的需求。如果不是的话,请记住我不是密码学家,所以使用这个需要您自担风险,并且如果您担心的话,找一个真正了解他们在干什么的人!
希望有所帮助。
你能解释一下你想存储多长时间吗?你是否需要跨越请求存储它,还是比这更长远?他们是否需要对所有数据进行解密,或者一次只进行一次? – 2011-04-28 15:58:20
我需要存储我的密码。当用户会话过期时,用户需要再次输入正确的密码才能访问合理的数据。 – 2011-04-28 16:07:21
如果这是一个Rails Web应用程序,用户是否通过不安全的http连接发送他的密码短语?如果是这样,攻击者可以捕获并冒充用户。为什么不能用https保护此通信? – 2011-04-28 17:39:30