我需要存储运行时所需的加密密码(SMTP密码)。
我面临的问题是我还需要存储密钥以再次解密密码,这可以通过什么方法解决?因为如果密钥与加密密码一起存储,则与以纯文本形式存储密钥相同。
这是客户的需求,因此,如果他们的服务器被黑客入侵,黑客将无法直接访问其所有密码。
制作中的软件使用NodeJS编码,并在Docker容器中运行。
我考虑过的一种解决方案是将加密密钥存储在Docker实例中另一个位置的另一个文件中,但这似乎也不是很安全。
预先感谢
编辑,不确定我的问题是否听不懂。但是我要问的是要问是否有一种安全的方法来执行此操作,以及是否应该在哪里寻找有关它的更多信息。
答案 0 :(得分:2)
如果您应在运行时使用纯文本密码,则无法保护密码免遭服务器攻击。关于数据库凭证也存在相同的问题。如果您将加密密钥存储在任何地方,则代码中的一个功能会解密加密的密码以供运行时使用,因此黑客可以使用该功能查找纯文本密码