我目前正在处理一些包含大量机密信息(地址,电话号码等)的用户数据库。
将它存储在数据库中的最佳方法是什么? 只是纯文本? 使用某种哈希加密,以便黑客无法轻易解密它?
法律如何规范? (网络服务器在德国,.com域名在Netfirms,我目前在荷兰)
关于密码安全的问题吗?我知道周围有一些md5暴力破解者(过去几秒钟就为我破解了一些哈希......)
是否有任何“受信任”的免费SSL证书,因此用户不会获得弹出窗口?,否则是为.com域名购买便宜的SSL证书?
我很抱歉我的问题非常分化,但所有问题都在同一主题上更少或更多。
答案 0 :(得分:2)
您需要获得法律建议,以汇总适用于您正在处理的数据的法律要求列表。这根本不是技术问题。
然后,您需要遵守法规,并最终通过适用于您的法律要求的任何系统审查合规性。同样,这根本不是技术问题。
解决法律问题的技术实施是一个小细节,即使您提供的问题陈述甚至无法以任何有意义的方式粗略勾勒出来。
答案 1 :(得分:0)
首先,有免费的SSL证书。一个来自StartSSl,另一个来自CACert。大多数浏览器和平台都接受StartSSL证书。所以我推荐它。但你不能拥有* .domainname.com(无论如何都不是很大的交易。)(这些不是试用证书,它们在免费啤酒中是免费的。)
要在数据库中保存密码,请始终对其进行哈希处理。使用适当的长盐,你的哈希将非常强大。
如果您需要加密/保护其他存储信息,您可以使用AES等任何加密方案,它们提供非常强大的保护。但由于解密密钥存储在您的服务器中,因此数据库中的数据仅与您的服务器一样安全。还要考虑在每个数据库请求之前加密和解密的开销,并确定它是否值得。
答案 2 :(得分:0)
在英国,“数据保护法”要求您使用“适当的”安全措施。如果数据受到损害,信息专员可能会因为不保护数据而罚款高达1万亿英镑。
在德国,隐私法规比英国更强 - 道歉我没有相关立法。
对于像这样的敏感信息,加密肯定是正确的。
答案 3 :(得分:0)
加密需要在某个时刻查看(解密)的数据,以及只需要检查的哈希数据。
示例:信用卡号码应加密(涉及合法性),密码已经散列。
我最近为当地报纸设立了一个系统,用于存储除最后4个号码之外的信用卡号码。我使用php generic_encrypt加密它们,然后使用base_64encode()加密它们。缺少的4个号码通过电子邮件发送给处理新订户的员工。
所以要审查: 可检索数据 - >加密 - >编码 - >解码 - >解码 可匹配的数据 - >哈希 - >输入 - >哈希输入 - >将哈希输入与存储的哈希进行比较。