Khi nói đến bảo mật mật khẩu, có những thứ mà mọi người đồng ý như lưu trữ băm muối của mật khẩu, giúp bảo vệ thống kê dựa trên mô hình và dữ liệu bị xâm phạm.Làm xáo trộn một mô hình bảo mật có một vị trí trong bảo mật mật khẩu không?
Điều gì dường như không đồng ý với bạn là phải làm gì với các muối. Có một số kỹ thuật vô hạn mà bạn có thể làm để cố gắng bảo vệ các muối, nhưng nhiều chuyên gia sẽ gợi ý rằng chúng chỉ là sự xáo trộn vô nghĩa của mô hình bảo mật, và theo thời gian, mô hình sẽ bị lộ ra, và tôi thấy mình không đồng ý với điều này, nhưng tôi có thể không hiểu được quan điểm khác.
Điều tôi không hiểu là nếu mô hình của bạn bị xâm phạm, tại sao bạn nên giả định thỏa hiệp đầy đủ thay vì một phần? Nếu mô hình bảo mật của bạn được phân phối trên các phần khác nhau của cơ sở hạ tầng không được bảo đảm như nhau, một sự thỏa hiệp một phần thậm chí có thể không phải là một vấn đề. (Nếu bạn làm điều gì đó như, ví dụ, mã hóa muối và lấy khóa mã hóa từ một môi trường được bảo mật cao hơn, ít có khả năng bị xâm phạm)
Tôi giả định rằng sự thỏa hiệp không phải luôn luôn 100% ở đây . Tôi chưa bao giờ có một hệ thống bị tấn công và cũng không bao giờ bị hack vì vậy tôi không có bức tranh hoàn chỉnh.
Bạn phải đưa ra các giả định khi thiết kế Bảo mật ứng dụng của mình. – Thomas
Không ở khía cạnh bảo mật. Bạn không nên. – Cratylus
@Thomas nếu bạn cho rằng điều tồi tệ nhất, bạn sẽ có một ứng dụng an toàn hơn. – glenatron