我需要在网络表单上捕获第三方帐户的客户密码。
我安装了专用服务器和SSL。
我的计划是让用户将表单提交给PHP处理脚本。
PHP处理脚本将使用aes-256-ctr加密密码,然后将其保存到服务器上的只写文件夹中的随机生成的文件名中(在public_html文件夹下)。
当添加新文件时,我会收到警报,并立即将加密文件scp到我的本地计算机并将其从服务器中删除。
然后我可以在本地解密文件。
这有多安全?
答案 0 :(得分:1)
不,这不是保护密码的安全方法。通过保密方法无法获得安全性。
如果您必须在此处保存实际密码是减少漏洞的一种方法:
考虑使用HSM加密密码,它们并不便宜。
将密码存储在未连接到Internet的单独服务器上。
只与需要密码的服务器建立连接。
使用简单的API设置,请求和删除密码。
使用双因素管理员身份验证,并将管理员限制为不超过两个受信任的人。
使用序列号令牌进行双因素身份验证,而非电子邮件或短信,这样您就可以正确控制管理员数量。
在服务器上使用速率限制,并在超过速率时提供警报。
聘请加密SME 来审核设计和实施。
在互联网连接的服务器上使用双因素管理身份验证。
购买责任保险。
一个主要的安全问题是许多用户将重新使用其他系统的密码。您的系统将被破坏,用户信息和密码将被窃取,您将不会知道发生了什么。这些用户凭据将用于访问其他系统上的用户信息。您的责任可能很大。
警告:我不关于此主题的中小企业。