加密4位数字的密码/密码-容易破解吗?

| 我目前正在开发一项服务,该服务要求用户选择4位数字的密码/密码,因为它是移动服务。我正在使用256位或2048位加密对这些密码进行加密,并且将对其进行哈希处理。输入4次错误信息后,该帐户将被阻止,并且只能通过手机输入。破解这些PIN会很难吗?我之所以这样问是因为要存储敏感信息。数据库连接到Web应用程序,使用twilio将应用程序加载到电话。我最担心的是数据库正在通过网络被黑客入侵。确保敏感数据安全的好方法是什么?     
2020-02-01 6 条评论
分享

没有找到相关结果

    已邀请:

    骂陋冠

            如果有人掌握了该数据库,您将大为困惑: 如果仅加密4位数的密码,则攻击者仅可以建立10000个可能的加密字符串的表,并可以对PIN进行简单解密。 如果您使用盐字符串(而不是对PIN加密,而是对PIN +盐加密,并与salt一起存储加密的(PIN +盐)),则人们必须为每个密码付出努力,但是每个密码仍然只有10000种可能性(不是很多)。 这意味着,是的,绝对应该使数据库保持不连接网络。 (如果仅通过twilio访问Web应用程序,则可以拒绝来自任何其他IP范围的连接)。     
    2020-02-01 0 0
    分享

    邵酮

            由于您正在使用twilio,因此只需确保twilo仅使用安全协议与您的Web服务对话,并拒绝您不确定来自受信任来源(即twilo)的任何请求。根本不需要引脚。 这是一个有关如何在Web服务器和twilo之间设置ssl的庞大网页。它甚至有一个php示例。 http://www.twilio.com/docs/security     
    2020-02-01 0 0
    分享

    糖固傻染

            如果您使用PKCS#1 1.5或2.0 RSA加密(请参阅标准),您还将加密随机填充。这意味着在传输过程中,只要填充是秘密的且确实是随机的,就无法比较PIN(这不是应该公开的盐)。 对于数据库,最好将其尽可能地移出正常操作。创建一个简单的服务,该服务仅在解密后检查PIN,确保该缓冲区上没有缓冲区溢出等,并且如果可能的话,请使用与生产服务器不同的计算机和访问权限。确实对这部分进行了很好的测试,因为界面很小,所以应该不会很难。 如果您和手机都可以使用,则可能要尝试ECC,但这不是温和的做法。 RSA加密通常使用较小的公共指数(强烈建议使用0x010001),因此它比电话的ECC更快。在服务器上(以及在密钥创建期间),ECC更快。我不建议为此使用对称加密(AES / 3DES)。 哦,并在应用程序中包含公共加密密钥(用于隐式信任),请不要从服务器发送过来。除了已经提到的服务以外,不要让私钥保密,并且不可访问。     
    2020-02-01 0 0
    分享

    搂腹时

            您描述的界面对我来说听起来很安全。它对于ATM足够安全! 加密的PIN容易破解吗?是的,只有10000种可能的组合,并且可以对所有可能的加密值生成一个Rainbow表,除非您加盐。但是,这将需要访问加密的PIN,这意味着攻击者已经拥有您的数据库的副本。 因此,实际上您需要确保数据库服务器是安全的。有很多变量可能使其不安全,因此这是一个大问题。相反,您可以依靠第三方解决方案(例如Amazon S3或其他),并专注于编码而不是安全性。让他们努力!     
    2020-02-01 0 0
    分享

    磐剩

            您应该使用高质量的密码加密技术来防止黑客入侵密码。查看Wikipedia文章以了解有关盐腌的更多信息。盐条     
    2020-02-01 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.039851903915405