一些资金雄厚的情报服务机构拥有可能不值得信任的员工,多年来一直拦截和存储加密数据,希望用未来的技术破解它。我可以做些什么来让他们更难做到这一点,以及如何限制成功攻击的范围?我已经使用 SSL 并将密码存储为 salty hash,并带有唯一的 salt。我使用手头工具允许的最大密钥来加密私人数据,但我不知道这对量子计算机有多大的影响。
我脑海中闪过的一些想法:
您可能会说,我不是安全研究人员,我只是为一家小型初创公司开发 Web 应用程序。由于“相关问题”侧边栏,我刚刚发现了 OWASP,我将继续阅读。
您可能会说,我不是安全研究人员,我只是为一家小型初创公司开发 Web 应用程序。
这就是你的答案。不要成为一个发明自己的密码方案的戴夫。只需坚持已广泛研究的已知协议即可。看来您已经在这样做了。
假设 NSA确实在每一个加密协议中都有后门(这只是一个假设,很可能不是真的,所以放松一下......)。是什么让你认为雇佣了很多非常聪明的人的 NSA 不能破坏你的自制计划?
只要继续做你一直在做的事情,你就会像以前一样安全。
以安全的方式实施 HTPS :
SSL + PFS(完美的前向保密)似乎是通往 atm 的道路;它是散列加盐是为了密码保护
使用不属于最近发现的攻击场景(BREACH、CRIME、BEAST)的设置;关于密码套件的建议取决于您的用户群和使用的实现
完全在 HTTPS 中运行您的网站,使用 HSTS - 标头和 https - 在 http 上重定向
当心您会发现有关密码套件等的任何提示;使用ssllabs.com测试您不确定的任何 SSL 设置
还有更多,但建议取决于实施。
如前所述,以正确的方式实施 SSL/TLS。提供身份验证和保密性很重要。
也就是说,您是一名网络开发人员。所以你写代码,一些有用的提示