我正在寻找详细了解mint.com和sigfig.com等网站如何保护凭据信息的详细信息。数以百万计的人不仅信任他们登录主要网站的信息,还信任他们的金融网站,而不仅仅是一个,而且往往是很多金融网站。
这是架构级别的问题。这些网站显然采用渗透测试,主动监控等。他们必须进行强加密,例如:
https://crackstation.net/hashing-security.htm
如果一个小型企业/网站希望尽可能安全地存储这些信息,他们将如何处理它?</ p>
答案 0 :(得分:0)
因此,您希望安全地将用户密码存储到外部网站...
您不能在此使用散列,因为您需要知道明文值并将其发送到外部网站进行登录。
理想情况下,您可以在此处使用类似OAUTH的内容,但并非每个站点都支持OAUTH。
这就是我要做的事情:
使用从external.com的密码派生的密钥加密you.com凭据(我需要登录you.com才能从external.com获取数据)< / p>
you.com创建了一个帐户,其中包含用户名和密码,然后登录you.com密码哈希并存储在数据库external.com you.com密钥加密这些凭据并存储在db external.com密钥解密了我的you.com凭据,然后代表我登录external.com 更好的方法是添加第二台服务器,该服务器仅存储外部凭据并连接到外部站点并返回身份验证详细信息(如会话cookie)。