Security 如何确定我的用户管理系统需要什么样的安全级别?
我知道这可能是一个很长的话题,而且没完没了,但因为我对处理和理解网站安全措施还不太熟悉,所以我仍然不知道我的用户管理系统应该有多安全 根据我所读到的,安全级别实际上取决于通过网站处理和使用何种信息。对我来说,我很可能会使用一些基本的会员/客户信息,如国家、全名、电子邮件,可能还有电话号码 现在我想确定我在这里做什么;我正试图创建一个符合这一标准的用户会员系统,将安全性作为我的首要任务。我开始阅读一些术语以及它们的用途 如果我错了,请纠正我。例如,在将数据发送到数据库之前使用加密,而在进行身份验证时使用哈希。现在,据我所知,使用bcrypt进行散列是最佳实践。那么,在这种情况下,加密数据的最佳做法是什么 我不打算再使用md5了,因为它被认为是弱加密方法 另外,在我的案例中,我需要什么级别的安全性 任何好的评论都将不胜感激Security 如何确定我的用户管理系统需要什么样的安全级别?,security,authentication,encryption,hash,Security,Authentication,Encryption,Hash,我知道这可能是一个很长的话题,而且没完没了,但因为我对处理和理解网站安全措施还不太熟悉,所以我仍然不知道我的用户管理系统应该有多安全 根据我所读到的,安全级别实际上取决于通过网站处理和使用何种信息。对我来说,我很可能会使用一些基本的会员/客户信息,如国家、全名、电子邮件,可能还有电话号码 现在我想确定我在这里做什么;我正试图创建一个符合这一标准的用户会员系统,将安全性作为我的首要任务。我开始阅读一些术语以及它们的用途 如果我错了,请纠正我。例如,在将数据发送到数据库之前使用加密,而在进行身份验证
谢谢,大多数情况下,您都希望使用现有软件包来管理这些内容 您的假设是正确的,数据库中的机密信息应该加密,如果不是散列的话。密码应该是散列的,因为您不需要以明文检索密码,而电话号码应该是加密的,因为您希望它受到保护,同时仍然可以以明文形式访问它
如果您坚持从头开始执行站点的安全特性,请考虑./P/> 在自制加密/身份验证套件中有许多可能的攻击载体,在重新发明轮子之前,请确保充分利用可用的解决方案
但要回答您的问题,请使用或,它们是可靠的。谢谢您的宝贵意见。所以你的意思是,使用blowfish(bcrypt)加密和散列更好,因为它比其他方法好得多;md5、sh1、sh2等等……我不是专家,但据我所知,这是一个安全的选择。别忘了盐!谢谢你,简。我相信你的意思是在加密中使用盐。是的,我想这是整个过程的一个重要部分。