Database 如何保护用户名、密码和用户数

我正在寻找一个存储方案，而不仅仅是密码加密和散列

我希望密码文件/DB不会泄露：

用户数

用户名

用户密码

我的基本想法是对用户名和密码进行散列和盐析，并在数据库中添加1000个“陷阱”条目（例如，以_xxxx结尾的随机用户名和以_yyy结尾的随机密码，这对真实用户无效）

当然，当有人试图登录时，我必须对照数据库中的所有行进行检查

这个方案安全吗

注:

用户是手动添加的。如果必须删除用户，则登录名存储在保险箱中

我不确定我是否可以保护这个方案免受暴力方法的攻击，但我认为猜测名称和密码更难

编辑：

---

我正在防止用户/密码文件（以及读取此文件的应用程序）泄漏。如上所述，我需要保护用户的实际数量以及他们的身份（或任何可能泄露他们身份的信息）。

用户数量似乎是最难保护的数据点。你可以通过创建大量伪造用户来掩盖这一点，这些用户的名字都是按照你所描述的那样加密的。这些陷阱可能与您描述的陷阱具有双重作用，但您需要能够区分陷阱和真实用户，这意味着如果攻击者能够破坏陷阱检查器，则攻击者也有可能这样做

你想阻止谁

您想保护它不受破坏数据库的人（例如通过SQL注入）或流氓系统管理员的攻击吗

您想保护它不受危及操作系统并获得对支持数据库表的文件的访问权限的人的攻击吗

前者可以通过将对表的访问限制为经过良好审查的存储过程和严格的数据库访问控制来缓解

---

后者可以通过将DB文件放在加密分区上来缓解，尽管这会降低访问速度和/或使启动复杂化。

具有讽刺意味的是，用户数量越多，暴力攻击者越有可能偶然发现一个有效的组合——如果他们知道你有很多用户名/密码为_xxxx或_yyy的用户，这可能会给他们一个加密优势

所以，我绝对建议你不要给你的冒牌用户任何实际的特权，这样即使是一个成功的猜测也不会给系统带来任何权利

其次，你可能想考虑一下你在保护谁，以及如何保护——人们普遍认为一个好的散列/盐组合可以防止最可信的攻击；将用户名添加到该方案只意味着您正在防范当前不存在的攻击

另一方面，你没有做任何事情来保护“邮件后的用户名”、“密码=性”等更常见的攻击向量。

---

改进“用户名/密码”最常见的方法是要求用户具有物理属性。

问题是，如果我不给我的假用户任何实际权限，攻击者可能更容易知道他们是假的。@Lior Kogan:一种解决方法可能是给假用户蜜罐模式的选择权限。审核该模式将有助于通知您受损的伪造用户帐户。