【发布时间】:2011-03-13 21:17:35
【问题描述】:
如果密码是数据中最不有价值的部分,为什么还要将加密的用户密码存储在数据库中?似乎不会影响外部攻击;设置每个帐户每天的登录尝试次数是有效的。似乎不会影响内部攻击;如果有人可以访问密码,他们也可以访问数据库其余部分中更有价值的数据。
我在这里遗漏了什么吗?难道不应该使用用户密码作为密码加密本身有效的密钥来加密整个数据库吗?
将他的帖子与他的问题结合起来:
好吧,我问这个问题的方式很糟糕。让我重新表述一下。
如果有人闯入此系统,他们拥有用户密码这一事实是我最不关心的问题之一。我将对密码进行加密,但以我的拙见,数据库中的其他数据更有价值。假设如果内部攻击者拥有该数据,他们就不会关心密码。
如果数据库中没有其他内容被加密,并且数据库中的所有其他内容都是攻击者真正想要的,那么加密密码真的解决了什么问题吗?
【问题讨论】:
-
好吧,什么给出。鉴于用户名,您显然是一个 sock 帐户,并且您正在为一个被多次讨论的问题获得大量支持。是 4 月 1 日吗?
-
/me 正在做笔记,几周后重新发布并获得大量支持...为什么有人要努力工作以获得代表,而您可以这样做?跨度>
-
这个问题就像在问,“你为什么需要在车上休息,因为反正你总有一天会死……”,而不是因为其他数据可以作为目标意味着你不必保护这部分数据。这就像说如果一只狗攻击某人,你不会帮助他,因为一只狗可能同时攻击其他人。
-
@Palantir - 他最多有 31 个代表。我不认为这是世界末日。
-
@Jon B:我说的是整个问题。到目前为止,这个产生了超过 150 个代表点,对社区来说完全没有价值,因为它已经得到了回答。
标签: database security passwords