我有一个连接数据库的虚拟服务器。所以在我的代码中我存储了我的数据库凭据。如果有一天有人可以访问我的服务器,他就会知道我的密码。
我们假设我使用Google KMS(或使用任何其他服务/方式)加密了我的密码。现在黑客无法直接使用密码。但是我的代码也不行。因此,必须调用Google KMS API对其进行解密。
因此,如果黑客可以访问我的硬盘,他就无法使用我的密码。但如果他可以完全访问我的服务器(被盗服务器的凭据),他可以从服务器执行命令,他也可以调用Google KMS并解密密码。
避免这种情况的最佳做法是什么?
答案 0 :(得分:0)
你没有提到操作系统。在Windows中,每个进程都在给定的安全上下文中运行(即:domain \ username)。这些帐户中的每一个都有用户名和密码。您希望通过保护帐户密码来保护您的密钥。对于Windows服务,如果没有用户提示输入密码,请考虑使用DPAPI。