[英]How to store thirdparty passwords without reading them
在无法解决的情况下,我需要帮助。 我需要存储来自第三方服务的密码,并且我不希望它是人类可读的。
我想出了一个(可能很愚蠢的)解决方案:我的服务生成一个加密/解密密码的秘密密钥,并在需要访问第三方服务时使用该密钥解密密码,并在需要时加密该密码。储存它。
问题是我的解决方案安全吗? 是好还是坏? 有没有更好的方法? 您能指点一下方向吗?
存储可检索密码可能是密码术中最困难的任务之一。 您的应用程序需要以明文形式获得这些密码,并且攻击者也可以使用足够的特权来获得这些密码。 但是,有一些常见的方法可以解决此问题:
上面的系统都不是防弹的,毕竟应用程序本身必须能够获得密码。 这就是为什么要尽可能避免完全存储密码(例如存储哈希)的原因。
如果您能负担得起专用硬件,则可以将密码管理外包给无法从Internet访问的第二台服务器,或者可以考虑购买硬件安全模块 。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.