0
我有一个密码来解密使用我的rails应用程序中的公钥的数据。如何存储密码以解密安全数据?
当用户尝试去特定菜单(例如“发票”)以解密合理数据时,我向用户询问“密码”。
不建议将密码直接存储到用户会话/ cookie(出于安全原因)。
那么,没有安全漏洞的情况下存储此密码短语的最佳方式是什么?
A
回答
0
1
假设:
- 你的要求是,用户可以输入一次密码短语,然后访问所有的数据对他们的会话的剩余部分。
- 您有大量数据要加密每个帐户(即多个发票)。使用安全,随机密钥(数据键)和对称密码(例如AES)
- 加密所有连接到用户的账户数据:
我会做类似如下。
- 为每个帐户分配一个公钥/私钥(帐户密钥),并带有用户选择的密码。
- 使用公共账号密钥对数据密钥进行加密并存储。
- 创建应用程序范围内的安全随机密钥(会话密钥)。
- 当用户输入密码时,用它来解密他们的数据密钥,然后立即使用会话密钥对其进行重新加密,并将其存储在他们的会话或cookie中。在会话中分别存储时间戳,记录密钥的加密时间,并通过创建时间戳,加密数据密钥和会话密钥的散列来签名。
当他们想看看一些数据,那么:
- 拉动加密的数据密钥,时间戳和签名中的散列出来的会话。根据时间戳,加密数据密钥和会话密钥重新计算哈希,并检查它是否与会话中的哈希相匹配(即没有任何内容被篡改)。
- 比较时间戳到'现在',并决定这是否是最近的,你会信任它(即它没有被中间人攻击的一个人偷走)。
- 当且仅当没关系,使用会话密钥解密数据密钥。
- 使用数据密钥解密数据。
如果你想额外的安全性,你可以定期轮流会话密钥,以确保即使攻击者设法得到别人的会话加密的数据类型的时候,就不得不在妥协应用程序本身同时为了获得相关的会话密钥。
这可能会过度复杂,以满足您的需求。如果不是的话,请记住我不是密码学家,所以使用这个需要您自担风险,并且如果您担心的话,找一个真正了解他们在干什么的人!
希望有所帮助。
相关问题
- 1. 安全密码存储
- 2. 如何安全地存储加密密码
- 3. 如何解密存储在数据库中的shiro密码..?
- 4. Gtk#:安全存储用户密码
- 5. Eclipse安全密码存储和ssh-agent
- 6. 安全密码存储和恢复
- 7. 如何安全地存储密钥?
- 8. 存储密钥和密码的安全方法,用于asp.net
- 9. 春季安全与休眠,存储加密密码
- 10. 选择存储Android密码安全应用数据的最佳解决方案
- 11. 如何安全地存储注册/登录信息,如密码?
- 12. 如何在android中安全地存储加密密钥?
- 13. 如何在C++中安全地存储AES加密密钥?
- 14. 如何安全地在.Net中存储加密密钥?
- 15. 如何在java中安全地存储加密密钥?
- 16. 如何在mysql中安全地存储密码以后在php中解密它们,而不是哈希?
- 17. 存储加密密码和salt或仅存储加密密码?
- 18. 如何在AES数据库中存储AES加密密码
- 19. 如何存储数据库中加密的密码?
- 20. 如何在将密码存储在我的数据库之前安全地对密码进行哈希处理?
- 21. 如何安全地存储没有哈希的密码?
- 22. 如何使用greasemonkey安全地存储密码?
- 23. 如何安全地存储远程服务的密码?
- 24. 如何在设备上安全地存储密码?
- 25. 如何安全地将密码存储在文件中?
- 26. 如何安全地存储我的CouchDB管理员密码?
- 27. 可以安全地存储其他网站的密码吗?
- 28. 如何存储密码以备后用?
- 29. 解密存储Java密钥存储
- 30. 密码加密和密码存储 - Perl
你能解释一下你想存储多长时间吗?你是否需要跨越请求存储它,还是比这更长远?他们是否需要对所有数据进行解密,或者一次只进行一次? – 2011-04-28 15:58:20
我需要存储我的密码。当用户会话过期时,用户需要再次输入正确的密码才能访问合理的数据。 – 2011-04-28 16:07:21
如果这是一个Rails Web应用程序,用户是否通过不安全的http连接发送他的密码短语?如果是这样,攻击者可以捕获并冒充用户。为什么不能用https保护此通信? – 2011-04-28 17:39:30