it-swarm.com.de

Gibt es einen echten Wert für das Hashing / Salting von Passwörtern?

Ich kümmere mich um ein System, das viele "minderwertige" Informationen enthält, nichts Finanzielles als Name/Adresse/E-Mail usw. Jemand hat vorgeschlagen, die Sicherheit des aktuellen internen Passwortverschlüsselungsalgorithmus zu erhöhen, um den von ICO empfohlenen Hash/Salting zu verwenden. Ich habe ein bisschen herumgelesen und habe Mühe, den Nutzen zu erkennen. Mein Argument ist auf die "Experten" zurückgegangen, die dies vorschlagen, aber meine ziemlich einfache Frage nicht beantworten können (können).

Soweit ich das beurteilen kann, verhindert Hashing/Salting, dass das Passwort von einem Hacker gelesen und entschlüsselt wird, und es ist hervorragend dafür, kein Argument. Aber wenn mir nichts fehlt, muss der Hacker Zugriff auf die Datenbank haben, um den Kennwortwert lesen zu können, damit er die Kennwortwerte stehlen kann? ... Wenn er Zugriff auf die Datenbank hat, benötigt er den nicht Kennwort (e), da sie die Daten einfach direkt aus der Datenbank stehlen können, dh der Anwendungszugriff, den sie über die Kennwörter erhalten, würde ihnen nichts weiter geben, als die Datenbank direkt zu lesen? ...

Was vermisse ich?

43
Steve

Benutzer verwenden häufig dieselben Kennwörter auf mehreren Websites. Ihre Website enthält möglicherweise keine Finanzdaten. Was ist jedoch, wenn für die Bank oder einen Online-Shop dasselbe Kennwort verwendet wird?

Sie könnten argumentieren, dass dies nicht Ihr Problem ist, aber es ist ein häufiges Problem. Deshalb lautet eine der unmittelbaren Aussagen bei jedem Verstoß "Ändern Sie Ihr Passwort und ändern Sie es auf allen anderen Websites, auf denen Sie das verwendet haben." selbe Passwort".

Wenn Ihre Site so etwas wie Bcrypt verwendet hat (ohne Fehler in der Implementierung - siehe Ashley Madison), ist die Wahrscheinlichkeit, dass ein Angreifer herausfinden kann, welche Passwörter verwendet wurden, geringer und die Zeit für Benutzer, ihre zu ändern, verlängert sich Passwörter anderswo. Wenn Sie das Kennwort nur ohne Hashing in Ihrer Datenbank speichern, kann ein Angreifer mit den E-Mail-Adressen und Kennwörtern abwandern und sofort eine andere Site angreifen.

E-Mail-Adress- und Passwortpaare werden häufig auch zwischen Angreifern in Form von "Kombinationslisten" ausgetauscht. Dies bedeutet, dass der ursprüngliche Angreifer, selbst wenn er nur an Ihrer Website interessiert ist, möglicherweise Vorteile erzielen kann, indem er die Daten an jemanden verkauft sonst.

Hinzugefügt als Antwort auf einen Kommentar zu einer Frage, in der 2-Wege-verschlüsselter Speicher erwähnt wird

Das Problem bei einem 2-Wege-Verschlüsselungsansatz besteht darin, dass die zu entschlüsselenden Informationen irgendwo im System gespeichert werden müssen. Wenn ein Angreifer Zugriff auf Ihre Datenbank erhält, besteht eine gute Chance, dass er auch Zugriff auf Ihren Verschlüsselungsschlüssel hat. Ein Hash kann auf diese Weise nicht rückgängig gemacht werden - Online-Tools zum Umkehren von Hashes suchen den Hash effektiv in einer vorberechneten Liste.

Selbst wenn sie nicht über den Verschlüsselungsschlüssel verfügen, können sie möglicherweise herausfinden, um welchen Schlüssel es sich handelt. Sie können einen bekannten Klartextangriff verwenden, indem sie ein Kennwort für Ihr System eingeben und das Ergebnis anzeigen. Es wäre wahrscheinlich kein schneller Prozess, aber es könnte sich lohnen, wenn Ihre Daten wertvolle Ziele enthalten (Prominente, Politiker ...).

Auf der anderen Seite besteht die einzige Möglichkeit, mit einem starken, gesalzenen Hash das ursprüngliche Passwort mit großer Sicherheit zu finden, darin, jede mögliche Eingabe mit dem entsprechenden Salt zu hashen. Mit so etwas wie Bcrypt würde dies Jahre dauern, obwohl schwache Passwörter immer noch relativ schnell gefunden werden.

107
Matthew

Gute Frage, und ich bin froh, dass Sie sie gestellt haben. Ich möchte, dass die Leute diesen Thread finden, wenn sie ihn googeln, damit sie - hoffentlich - nicht die gleichen Fehler machen, die viele andere Unternehmen machen.

Sie sollten nicht nur hash Passwörter verwenden, sondern salt und sicherstellen, dass Ihr Hashing-Algorithmus eine Form von SlowEquals verwendet. Sie sollten hier nicht aufhören: Sie sollten einen sicheren Hashing-Algorithmus verwenden, der stark widersteht collisions, wie z. B. bcrypt oder scrypt.


Warum Salz? Was sind Kollisionen?

Ich werde md5 als Beispiel verwenden, weil es sehr bekannt ist. Verwenden Sie es nicht, da es anfällig für Kollisionen ist und sehr schnell ist, was bedeutet, dass es viel einfacher zu brechen ist. Stellen Sie sich vor, Sie haben nur Ihre Passwörter ohne Salz gehasht. Sie würden so ziemlich jedes Mal eine statische Ausgabe erzeugen.

Zum Beispiel würde "myDarnPassword" in "aca6716b8b6e7f0afa47e283053e08d9" Konvertiert, wenn es als md5 gehasht wird. Zu diesem Zeitpunkt können Sie einen Wörterbuchangriff erstellen und Rainbow-Tabellen verwenden. Sie können sogar eine Datenbank generieren, die so viele zufällige Zeichen in eine leicht durchsuchbare Datenbank konvertiert, dass keine zeitaufwändigen Nachschlagen von Rainbow-Tabellen erforderlich sind. Sie können dies im Laufe der Zeit langsam erstellen und später nach Hashes suchen.

Sie würden eine Tabelle erstellen, die folgendermaßen aussieht:

+-------------------+----------------------------------+
| PASSWORD          |           UNSALTED_HASH          |
+-------------------+----------------------------------+
| myDarnPassword    | aca6716b8b6e7f0afa47e283053e08d9 |
+-------------------+----------------------------------+
| pleaseDontSueMe11 | 0dd395d0ec612905bed27020fb29f8d3 |
+-------------------+----------------------------------+

Dann würden Sie ungefähr so ​​aus der Datenbank auswählen:

SELECT [password] FROM [table] WHERE [unsalted_hash] = 'aca6716b8b6e7f0afa47e283053e08d9'

Und es würde myDarnPassword, plus alle aufgetretenen Kollisionen zurückgeben.

Mit genügend Rechenleistung und Zeit könnten Sie Billionen von Kombinationen erstellen und in sehr kurzer Zeit ganz einfach eine große Anzahl von Passwörtern knacken (ich könnte empfehlen, Datenbanken aufgrund der bloßen Anzahl in Passwortlängen aufzuteilen). Dafür benötigen Sie jedoch eine enorme Menge an Festplattenspeicher.

An diesem Punkt müssen Sie es nur noch nachschlagen, ohne jedes Mal Rechenleistung zu verschwenden, wenn Sie alles brutal erzwingen. Und wenn Sie in der Vergangenheit die Passwörter anderer Personen aus einer Datenbank gestohlen haben, können Sie diese hinzufügen und in Hashes konvertieren. Viele Websites haben dies bereits getan.

Wenn eine Website Ihr Passwort validiert, vergleicht sie das Passwort mit dem gespeicherten Hash. Wenn es mit dem Hash in der Datenbank übereinstimmt, wird es als gültiges Passwort betrachtet. Sie können dem Benutzer dann erlauben, sich anzumelden.

Das Salzen des Hash kann helfen, diesen Angriff zu besiegen, aber es wird Sie nicht gegen Kollisionen retten. Sie können die gehackten Hashes mit Ihrer Hash-Liste vergleichen, die Kollisionen erzeugt hat, und dann dieses Passwort auf einer Website eingeben, auch wenn Sie das falsche Passwort haben: Solange der Hash validiert ist, sind Sie pwned.


Wen interessiert es, wenn jemand meine Passwörter knackt? Es ist mir egal!

Im Folgenden finden Sie nur eine kleine Sammlung von Beispielen dafür, was Phisher und andere böswillige Personen mit Ihren nicht gehackten und ungesalzenen Klartext-Passwörtern tun könnten. Es muss nicht unbedingt verwendet werden, um Sie direkt anzusprechen, aber sagen wir, Hacker möchte Person A Anvisieren. Lassen Sie uns ableiten, wie Sie Person A Anvisieren können.

  1. Sie sind Hacker. Ihre Aufgabe ist es, Websites zu hacken und eine Datenbank zu entwickeln, um diese Informationen zusammenzufassen.
  2. Person A Ist eine Person von Interesse. Person A Wird in einer Ihrer gehackten Site-Datenbanken angezeigt. Sie kennen jetzt ihre E-Mail-Adresse und die password, die sie für diese Website verwenden.
  3. Jetzt können Sie versuchen, sich mit password, das Sie von dieser Website gestohlen haben, bei ihrem email address Anzumelden. Süß, es funktioniert!
  4. Nachdem Sie Zugriff auf ihre E-Mails haben, laden Sie alle ihre E-Mails über IMAP oder über ihre Web-Mail herunter. An dieser Stelle finden Sie viele interessante Dinge. Sie kommunizieren mit Person B.
  5. Sie können tatsächlich die Benutzernamen und E-Mail-Adressen einiger Personen googeln und Websites anzeigen, auf denen sie posten. Dadurch werden andere Websites aufgerufen, die der Benutzer verwendet. Vielleicht können Sie versuchen, diese Websites zu hacken, oder Sie können einfach ableiten, worauf sie sich einlassen. Jetzt können Sie pretend to be like them Oder zusätzliche Informationen finden. Informationen/Aktivitäten können sein:
    • Benutzernamen. Person A Posten online als Mark Buffalo. Das ist ein relativ eindeutiger Name. Sie können dann Mark Buffalo googeln und nach Websites suchen, auf denen er Beiträge veröffentlicht. Vielleicht enthüllt er auf anderen Websites mehr von seiner Persönlichkeit?
    • Passwörter. Möglicherweise hat Mark Buffalo Das gleiche Passwort auf dieser Website. Vielleicht können Sie sich auf dieser Website anmelden und seine privaten Mitteilungen mit anderen anzeigen?
    • Persönliche Informationen. Da Sie die Identität von Mark Buffalo Kennen, was ist, wenn er personal information Auf bestimmten Websites teilt? Was ist, wenn er auf der Craigslist nach männlichen oder weiblichen Begleitern sucht und dort seine Telefonnummer hinterlassen hat? Sie haben seine Telefoninformationen bereits gefunden, sodass Sie einen Weg finden können, ihn einzurichten und für Geld/Informationen/Macht zu erpressen. Dies hat nicht viel mit dem Versalzen der Passwörter zu tun, es sei denn, Sie geben die Telefonnummer nicht an, aber sie finden ihre Telefonnummer dank Ihres Lecks auf einer anderen Website. Dies ist eine der vielen sehr mächtigen Möglichkeiten, wie Informationen gesammelt und gegen Sie verwendet werden können. Dies ist immerhin ein Information Security Forum, also möchte ich dieses Beispiel verwenden.
    • Familieninformation. Jetzt wird es gruselig. Wir haben Mark Buffalos persönliche Informationen. Schauen wir uns seine sozialen Netzwerke an. Oh, er hat ein Facebook Konto (ich nicht). Können wir mit demselben Passwort darauf zugreifen? Wenn Buffalo dieselbe Kombination aus Passwort und E-Mail verwendet, dann wahrscheinlich. Und Sie können dies wahrscheinlich aus seiner E-Mail ableiten, auf die Sie zuvor zugegriffen haben und in der Sie viele interessante Dinge gefunden haben. Wir können uns jetzt anmelden und seine Facebook-Nachrichten lesen. Jetzt wissen wir, wer seine Familienmitglieder sind. Wir können dann den Erpressungsangriff leichter koordinieren.
    • Andere Anmeldeinformationen. Da wir früher Zugriff auf seine E-Mail erhalten haben, haben wir auch ein Skype-Konto. Einer von ihnen ist geheim. Wir melden uns an und sehen, dass er mit Leuten über Skype flirtet. Wir haben jetzt mehr Erpressungsmaterial.
    • Identitätswechsel. Sie können sich jetzt auf verschiedenen Websites anmelden und sich als Buffalo ausgeben. Vielleicht ist er tatsächlich ein Straight-Shooter und hat nie Escorts oder ähnliches gesucht? Nun, jetzt können Sie ihn, zumindest in seiner Erscheinung, in einen eskortensuchenden Verwerfer verwandeln, indem Sie seine Anmeldeinformationen verwenden, um sich online als er auszugeben. Stellen Sie sich den Schaden vor, der einem Politiker entstehen könnte, der zu Unrecht beschuldigt und zum Rücktritt gezwungen wurde.
    • Dinge, die es einfacher machen, andere Leute zu hacken. Sie können dann E-Mails mit infizierten Anhängen an Person B Senden und so tun, als ob Sie ihn kennen. Sie haben genug E-Mails gelesen, sodass Sie Mark Buffalo Bis zu dem Punkt imitieren können, an dem Sie genau wie er erscheinen. Sie erstellen die E-Mail so, dass Person B Ahnungslos bleibt, was wirklich vor sich geht, und jetzt können Sie Person B Oder noch schlimmer.

Und das ist nur eine kleine Sammlung von Ideen. Es gibt viele verschiedene Verwendungsmöglichkeiten für die Anmeldeinformationen anderer Personen. Salt und Hash Ihrer Passwörter, verwenden kollisionssichere Hash-Algorithmen wie bcrypt und scrypt und verhindern SQL-Injection-Angriffe. Bitte verwandeln Sie mich nicht in einen Eskorten suchenden Verwerfer! Rette Mark Buffalo!

(Ich bin mir bewusst, dass einige Websites Ihren Versuch, auf ihre Dienste zuzugreifen, blockieren können, wenn Sie eine andere IP verwenden, aber es gibt viele Möglichkeiten, dies zu umgehen, und nicht alle Websites tun dies.)

Übrigens, herzlichen Glückwunsch zu Ihrer möglichen Sammelklage, wenn Sie gehackt werden.

49
Mark Buffalo

Eine häufige Art von Verstoß ist der schreibgeschützte Zugriff auf die Benutzertabelle. Dies liegt daran, dass diese Tabelle in dem Code verwendet wird, der die Anmeldung ausführt, für die Sie nicht bereits authentifiziert sein müssen. Das Erhalten der Passwörter würde dann den Lesezugriff auf alle Daten ermöglichen. Aber selbst wenn der Angreifer bereits vollen Lesezugriff auf die Datenbank hat, kann er über die Kennwörter Schreibzugriff erhalten, sich beim Konto anmelden und einige Daten einfach ändern.

19
Selenog

Ein sehr einfacher Grund für das Versalzen und Hashing von Benutzerpasswörtern ist folgender:

Das Passwort eines Benutzers ist sein/ihr Geheimnis

Niemand sonst sollte es wissen. Nicht Sie, nicht Ihr Kollege, nicht der DBA. Niemand. So einfach ist das...

11
user90546

Ein Teil des Salting besteht darin, das Analysieren und Stehlen des Passworts sowie die Verwendung der Kombination aus Benutzername, E-Mail und Passwort auf anderen Websites zu erschweren.

Es ist ziemlich üblich, dass Benutzer 1 oder 2 Passwörter auf mehreren Websites wiederverwenden. Es wird dringend empfohlen, den Algorithmus so zu ändern, dass er salzt und etwas länger dauert (z. B. bcrypt, scrypt und ähnliches) und in den meisten Sprachen recht einfach zu implementieren ist.

6
Thor Erik

wenn sie Zugriff auf die Datenbank haben, benötigen sie die Kennwörter nicht, da sie die Daten einfach direkt aus der Datenbank stehlen können

Das Passwort ist das Wertvolle. Das liegt daran, dass viele, viele Menschen dasselbe Passwort erneut verwenden. Das Passwort für Ihren Taubenclub könnte also das gleiche sein, das sie für ihr Online-Banking verwenden.

Ich kümmere mich um ein System, das viele "minderwertige" Informationen enthält, nichts Finanzielles als Name/Adresse/E-Mail usw.

Diese sind auch wertvoll. Ich habe den Überblick über die Anzahl der E-Mails verloren, die ich kürzlich von "eBay" oder "Apple" erhalten habe und die behaupten, mein Konto sei eingeschränkt, es sei denn, ich "überprüfe" meine Daten. Sie sind normalerweise offensichtlich falsch, weil sie meinen richtigen Namen nicht erwähnen. Wenn Sie jedoch einen Namen und eine E-Mail-Adresse speichern, ist es viel einfacher, ein realistisch aussehendes Mail-Out zu erstellen und nach mehr persönlichen Informationen zu fragen. Zum Beispiel:

Sehr geehrter Herr Smith von 42 Station Street, Gotham City.

Wir haben gerade festgestellt, dass unser Club Sie in diesem Geschäftsjahr überfordert hat und möchten Ihnen 10 US-Dollar erstatten. Bitte antworten Sie mit Ihren Bankdaten, damit wir das Geld auf Ihr Konto einzahlen können.

Entlassen Sie also keine E-Mails und Namen.


Das Fazit ist jedoch, dass das Hashing und Salting Ihrer vorhandenen Datenbank nur ungefähr eine Stunde dauern sollte, um sie zu codieren und zu testen. Dann können Sie eine "Stapelkonvertierung" der Klartext-Passwörter in die gehashten und gesalzenen Passwörter durchführen.

1
Nick Gammon

Der Zweck eines Salt ist zweifach: Erstens wird jedem Kennwort ein eindeutiges (-ish) Element hinzugefügt, sodass der Hash-Text des Kennworts variiert, wenn zwei Benutzer dasselbe Kennwort verwenden. Wenn Benutzer A feststellt, dass sein Kennwort-Hash "QWERTYU123" lautet und der Kennwort-Hash von Benutzer B ebenfalls "QUERTYU123" lautet, kann Benutzer A ableiten, dass er dasselbe Kennwort wie Benutzer B hat.

Zweitens bedeutet dies eine erhebliche Geschwindigkeitssteigerung für alle Benutzer mit Zugriff auf die Datenbank, die die Kennwörter mit einem Wörterbuchangriff brutal erzwingen möchten. Ohne Salz kann der Angreifer einfach "TRUSTNO1" hashen, um den Hash "QUERTYU123" zu erhalten, und dann die Passwortspalte scannen, um festzustellen, ob dieser Text angezeigt wird. Mit einem Salt muss der Angreifer "TRUSTNO1" für jede Zeile in der Datenbank erneut aufbereiten, um eine Übereinstimmung zu testen. Dies erhöht die CPU-Menge, die zum Überprüfen jedes Wörterbucheintrags erforderlich ist, erheblich.

1
SEM

Ich kann sehen, was Sie meinen, wenn der Angreifer auch auf die Datenbank zugreifen konnte. Die Sache ist jedoch, dass ein gut gestaltetes Sicherheitssystem die Datenbank nur Informationen speichern lässt, die sowohl der Benutzer als auch der Server einzeln verschlüsselt haben.

Im Allgemeinen ist das Kennwort die erste Spur versteckter Werte, die Ihre Benutzer angeben können, um ihre Daten zu entschlüsseln, um eine zweite Sicherheitsebene zu bieten, falls die Verschlüsselungsschlüssel der Datenbank jemals kompromittiert werden. Auf diese Weise sind die Daten des Benutzers auch bei einem Verstoß sicher.

0
codykochmann

In diesem Zusammenhang basiert der Punkt des Hashings auf der Idee einer Einweg- oder Trapdoor-Funktion: einer Funktion, die einfach zu berechnen, aber schwer umzukehren ist. Wenn der Benutzer ein Kennwort generiert, berechnet das System seinen Hash und speichert diesen Wert in der Datenbank. Wenn der Benutzer ein Kennwort eingibt, um Zugang zum System zu erhalten, berechnet er seinen Hash und vergleicht ihn mit dem Wert in der Datenbank. Wenn sie gleich sind, großartig; Wenn nicht, war das Kennwort falsch und der Benutzer sollte daran gehindert werden, auf das System zuzugreifen. Damit dies funktioniert, benötigt der Hash zwei Eigenschaften: (1) Unterschiedliche ursprüngliche Werte Hash zu unterschiedlichen Werten; (2) Es ist rechnerisch schwierig, vom Hash zum ursprünglichen Wert zu gelangen.

Warum also überhaupt mit Hashes arbeiten? Wenn sich jemand in Ihre Datenbank einhackt (nicht nur durch Computer-Hacking, sondern auch durch Social-Engineering-Angriffe, Auslassen eines Ausdrucks im Bus, Handlungen eines verärgerten Mitarbeiters usw.), erhält er nur eine Reihe von Hash-Werten. Es ist schwierig, den ursprünglichen Wert von einem Hash-Wert wiederherzustellen, daher ist dies für einen Hacker nicht sehr nützlich. Wenn die Klartextkennwörter in der Datenbank gespeichert sind, gewinnt der Hacker, wenn die Datenbank kompromittiert wird. Er hat direkten Zugriff auf alle Konten und Passwörter und kann grundsätzlich tun, was er will. Dieses Setup bedeutet auch, dass Sie keinen Zugriff auf die Passwörter von Personen haben. Das ist eine gute Sache; Selbst wenn Sie sich selbst vertrauen, vertrauen Sie vermutlich Ihrem Gegenüber bei Ihrer Bank, Ihrem Vorgänger oder Nachfolger bei der Arbeit usw. nicht - und sollten es auch nicht müssen - Sie sollten sich nicht auf die Größe verlassen müssen oder nach Lust und Laune eines Administrators, um sicherzustellen, dass Ihre Informationen sicher sind.

Was die Salze betrifft, habe ich oben erwähnt, dass Hashes zwei nicht triviale Eigenschaften haben müssen, um wirksam zu sein. (Es gibt einige zusätzliche, die ich im Moment überspringe.) Funktionen mit diesen Eigenschaften sind nicht trivial zu finden, und es wäre unklug, sich auf den jeweiligen Administrator einer Site zu verlassen, um eine anständige zu entwickeln. Stattdessen gibt es weit verbreitete Hashes, die die meisten Leute verwenden. Der Sinn eines Salt besteht darin, sicherzustellen, dass verschiedene Sites effektiv unterschiedliche Hashes verwenden: Anstatt nur 'Passwort' zu hashen, verwenden wir stattdessen 'Salt' + 'Passwort' für verschiedene Werte von 'Salt'. Dies bedeutet, dass jemand, der an zwei Standorten dasselbe Kennwort verwendet, auf beiden Systemen tatsächlich unterschiedliche Hashes hat, sodass ein Hacker nicht einen verwenden kann, um den anderen zu brechen. Ohne das Salz könnten Hacker auch alle Hashes für Passwörter von angemessener Länge brutal erzwingen. Ich habe oben erwähnt, dass es schwierig sein muss, Hashes umzukehren. Wenn Sie eine Tabelle mit allen möglichen Hashes für Kennwörter mit beispielsweise 10 Buchstaben (oder sogar nur den am häufigsten verwendeten Kennwörtern) haben, ist es trivial, den Hash umzukehren. schau es einfach in der Tabelle nach.

0
anomaly

Beachten Sie neben den anderen Antworten, dass zwischen vollständig sicherem und vollständigem Zugriff auf eine Datenbank viele Sicherheitslücken bestehen. Eine Sicherheitsanfälligkeit kann nur einige Passwörter oder nur die ersten paar Zeichen davon offenlegen oder es ist schwierig, sie einem bestimmten Benutzer zuzuordnen usw. Durch Hashing und Salting kann verhindert werden, dass aus einem geringfügigen Verstoß ein schwerwiegender wird.

Eindringlinge begrenzen auch gerne ihre eigene Exposition. Je länger sie eine Sicherheitslücke oder Hintertür verwenden, um in ein System zu gelangen, desto wahrscheinlicher ist es, dass sie entdeckt und ausgesperrt werden, bevor sie ihr Ziel erreichen. Wenn Sie Ihre Passwörter unversehrt und ungesalzen lassen, haben Sie ihnen nur eine sehr einfache Möglichkeit gegeben, wieder in das System einzusteigen, die sich als Benutzer ausgibt. Dies ist äußerst schwierig zu erkennen und zu mildern.

0
Karl Bielefeldt

Das Verschlüsseln von Benutzerinformationen wie Name, E-Mail usw. und das Speichern in einer Datenbank anstelle eines Rohformats bietet Ihrer Anwendung zusätzliche Sicherheit. Zweitens können Personen, die Zugriff auf Ihre Datenbank haben, Daten nicht einfach lesen. Jede Art von Informationen, die Sie speichern und die von einem Kunden stammen, ist geheim. Da es sich um ihre Daten handelt und es in der Verantwortung der Entwickler liegt, sie so zu speichern, dass es für den Hack schwierig ist, eine Bedeutung zu erlangen, sei es eine minderwertige oder eine streng geheime Information. Das Entschlüsseln und Verschlüsseln von Daten sollte auch auf der Serverseite erfolgen, da die Server im Allgemeinen hinter der Firewall gehalten werden. So wird es aus Sicherheitsgründen sicherer.

0
RVD