帐户密码传输和 PCI DSS 合规性答案

【问题标题】：Account password transmission and PCI DSS compliance帐户密码传输和 PCI DSS 合规性
【发布时间】：2016-09-28 10:55:05
【问题描述】：

我正在开发一个必须符合 PCI PA-DSS 的 Android 应用程序，我的问题是关于 PA-DSS_v3-1 文档中的这个要求

3.3.1 使用强加密技术使所有支付应用程序密码在传输过程中不可读。

假设我的应用程序中有一个“更改密码”功能，它通过 ssl/tls 加密连接将用户的帐户密码传输到服务器。这种加密是否足以满足要求？我需要在通过 ssl 发送之前实施某种加密吗？

谢谢。

【问题讨论】：

一只小鸟告诉我需要额外的加密，但在文档中没有看到。但我可以保留关于password cracking times 的 PCI 建议纯属废话，看来他们不知道password lists 或cracking tools。

【解决方案1】：

PCI 标准有时可能含糊不清，而且有点“开放式”，但根据我们的经验，它完全可以。

SSL/TLS 是加密，只需将其用于您忘记密码的功能就可以了。

【讨论】：

似乎“传输期间”这个短语似乎允许 SSL/TLS 安全传输媒体。但是安全身份验证是必要的，即确保没有 MITM 攻击。如果不能保证 MITM 攻击，则 SSL/TLS 不安全。通常，此身份验证可能通过证书固定来完成，即验证每一方的正确证书。