безопасность базы данных
Я читал о безопасности базы данных когда дело доходит до веб-сайтов. И это говорит, что взломщик мог украсть базу данных и затем иметь столько времени, сколько он хочет получить пароли всего пользователя. Если бы взломщик украл базу данных, почему ему были бы нужны пароли, поскольку аутентификация сделана в php? Таким образом, он мог просто получить доступ к информации всего пользователя, не зная пароля. Например, форум с защищенными паролем областями. Взломщик мог попытаться получить пароль модератора или пользователя с доступом к защищенной области путем получения базы данных (например, взломщик мог быть сотрудником компании, которая размещает базу данных), и затем перейдите к форуму и войдите в систему как пользователь.
или взломщик мог пропустить это и просто посмотреть в таблице сообщений в скрытой области.
В основном, если у взломщика был доступ к базе данных, почему беспокойство с именем пользователя и паролем, когда можно получить доступ к тем данным, не будучи должен пройти проверку подлинности.
(это сообщение в блоге заставило меня задать вопрос: http://www.richardlord.net/blog/php-password-security)
2 ответа
Вы обязаны защитить пароль перед своими пользователями настолько, насколько это возможно. Это означает защиту базы данных от кражи. Это также означает создание сильного соленого хэша, так что если злоумышленник получит базу данных, ему потребуется непомерно много времени, чтобы извлечь все пароли (это всегда возможно, но сделайте так, чтобы это не стоило их усилий).
Один из способов - использовать систему хеширования с несколькими солями. По сути, вы используете 2 отдельные соли. Одна хранится у пользователя и является уникальной для каждого пользователя, а другая для всего сайта хранится в другом месте. Таким образом, если они не получат обе соли, взломать систему будет в геометрической прогрессии сложнее (хотя и не невозможно).
Большинство пользователей используют один или два пароля для всех сайтов. Поэтому если ваш сайт будет взломан, все их учетные данные также будут взломаны. Вот почему необходимо предпринять все возможные попытки для блокировки своих систем (включая базу данных и любые конфиденциальные данные в ней)...
Это зависит от того, что еще он сможет сделать, когда получит логин и пароль. Например, рассматриваемый веб-сайт может позволить ему заказывать товары на имя другого пользователя или выдавать себя за него каким-либо другим способом. Другими словами, получение учетных данных позволяет злоумышленнику превратить пассивную атаку (чтение данных) в активную (выполнение действий, которые ему нельзя разрешать).
Существует также проблема, что пользователи обычно используют один и тот же пароль на нескольких сайтах. Таким образом, нарушение безопасности в одном месте может поставить под угрозу и другие вещи.
По этим причинам пароли не должны храниться в базе данных в удобочитаемой форме. Пароли всегда должны хешироваться (не зашифровываться) с использованием криптографически безопасного алгоритма хеширования.