不安全的加密存储和安全 | .Secure Code Warrior
数据是企业的命脉。它是企业生存、赚钱和为客户提供服务所需的基础信息。在这个越来越注重数字的社会中,开发人员作为这些珍贵信息的管理人负有巨大的责任。当开发人员不保护机密数据时,企业就会成为不安全的加密存储的牺牲品。
让我们来看看如何安全地存储数据,以及当你不这样做的时候会发生什么。
了解不安全的加密存储
当攻击者获得一个系统的访问权时,他们通常在寻找有价值的数据。你知道--那种可以用来接管某人的账户,或用来执行另一次攻击的数据。有时,这类数据只是在黑市上出售,以获得快速现金。
不安全的加密存储不是像SQL注入或XSS那样的单一漏洞。它是没有以你需要保护的方式保护你应该保护的数据的后果。
敏感信息必须得到保护。当你以明文方式存储密码和信用卡信息时,你是在用你的业务玩俄罗斯轮盘赌。
如果一个黑客闯入你的数据库并使用SQL注入、XML注入或任何其他攻击方式窃取数据,他们就会拥有一切。然而,如果你对你的数据进行加密,他们将更难真正利用这些数据。
值得注意的是,违规行为并不总是由恶意的外部人员造成。如果数据没有被加密,一个无赖的内部人员也可以轻松地窃取数据。你公司的员工不需要看到数据库中的一切,不充分的访问控制或暴露的敏感数据会导致彻底的盗窃。
还要记住,所有的加密都是不一样的。使用错误的加密算法与完全不使用它们一样危险。已知的薄弱算法将对精明的攻击者提供很少的阻力。
为什么不安全的加密存储是危险的?
许多公司被另一个漏洞(如SQL注入)所破坏,最终无法隐藏被盗的数据。这使得一个可怕的情况变得更加糟糕。
- 成人交友网站被攻破,泄露了4.12亿个账户。这些账户的密码是用弱的SHA-1散列算法保护的。他们在一个月内就被攻击者轻易破解。
- Uber被攻破,泄露了5700万用户记录和60万司机记录。个人信息被丢失。发生这种情况是因为Uber的GitHub账户有一个包含Uber的AWS账户用户名和密码的存储库被公开......不是一个好主意。Uber的估值下降了200亿美元,主要是由于这一漏洞。
- 索尼的PlayStation网络被攻破,泄露了7700万个账户。其中1200万个账户包含未加密的信用卡信息。索尼后来就该漏洞的1500万美元集体诉讼案达成和解。
不适当地存储敏感数据显然会有严重的后果。
索尼被起诉,这是一个重大的惩罚。然而,即使你没有被起诉,声誉和监管方面的损害对企业来说可能是灾难性的。
打败不安全的加密存储
开发人员如何防止类似上述的数据泄露事件发生?
第一步是首先要确定哪些数据需要加密。毕竟,不是所有的数据都是一样的。对你的数据进行分类,然后在适当的地方使用加密。
一般来说,像社会安全号码、密码和信用卡细节等个人信息必须得到保护。根据你的业务性质,你可能需要保护健康记录或其他被视为隐私的信息。
一旦你知道哪些数据需要保护,下一步就是使用正确的工具来确保其安全性。一般来说,坚持使用经得起时间考验的、被认为是强大的加密算法是很好的。
无论怎样,都不要自己编写加密函数。它们很可能包含攻击者可以用来破解加密的缺陷。
要对社会安全号码或信用卡数据等数据进行加密,请使用AES。AES有不同的操作模式,在撰写本文时,强烈推荐的模式是伽罗瓦/计数器模式(GCM)。另一个提示是,对于要求你选择填充类型的库,要确保不使用填充物。
对于密码,使用散列算法来散列密码,因为散列算法不能被逆转。对于一个强散列值,攻击者无法检索到创建该值的原始文本。Argon2和Bcrypta被认为是散列密码的可靠选择。请记住,在散列前一定要用随机值对密码进行 "加盐",这样同一密码就不会有两个相同的散列值。
这些函数将为所有主要的编程语言/框架提供实现。请查阅你的特定语言或框架的文档,了解如何有效地使用它们。
密钥的生成、存储和管理是密码学的重要组成部分。管理不善的密钥可能会被暴露,并被用来解密你的数据。一些框架有助于密钥管理,如ASP.NET的数据保护API。关于密钥管理的一般最佳实践,请查看OWASP的小抄。
安全地存储你的数据是你防止昂贵的、令人尴尬的数据泄露的方法。在最坏的情况下,如果攻击者能够窃取你的数据,他们将更难看到或使用它来达到任何邪恶的目的。
将你的数据隐藏在众目睽睽之下
让我们快速回顾一下如何保护你的数据。
- 对你的数据进行分类,以便你知道什么需要保护
- 使用强大的、经过行业审核的算法来加密敏感数据
- 使用强大的单向哈希值存储你的密码
要进一步研究这个问题,请查看我们的学习资源。当你准备好深入学习和练习时,请用你喜欢的语言试试我们的平台。我们涵盖了很多内容!
有了这些工具,你可以防止你的数据被盗,并防止你的公司损失金钱和损害其声誉。
准备好现在就找到并修复不安全的加密存储了吗?前往竞技场,测试你的技能 [从这里开始]
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
数据是企业的命脉。它是企业生存、赚钱和为客户提供服务所需的基础信息。在这个越来越注重数字的社会中,开发人员作为这些珍贵信息的管理人负有巨大的责任。当开发人员不保护机密数据时,企业就会成为不安全的加密存储的牺牲品。
让我们来看看如何安全地存储数据,以及当你不这样做的时候会发生什么。
了解不安全的加密存储
当攻击者获得一个系统的访问权时,他们通常在寻找有价值的数据。你知道--那种可以用来接管某人的账户,或用来执行另一次攻击的数据。有时,这类数据只是在黑市上出售,以获得快速现金。
不安全的加密存储不是像SQL注入或XSS那样的单一漏洞。它是没有以你需要保护的方式保护你应该保护的数据的后果。
敏感信息必须得到保护。当你以明文方式存储密码和信用卡信息时,你是在用你的业务玩俄罗斯轮盘赌。
如果一个黑客闯入你的数据库并使用SQL注入、XML注入或任何其他攻击方式窃取数据,他们就会拥有一切。然而,如果你对你的数据进行加密,他们将更难真正利用这些数据。
值得注意的是,违规行为并不总是由恶意的外部人员造成。如果数据没有被加密,一个无赖的内部人员也可以轻松地窃取数据。你公司的员工不需要看到数据库中的一切,不充分的访问控制或暴露的敏感数据会导致彻底的盗窃。
还要记住,所有的加密都是不一样的。使用错误的加密算法与完全不使用它们一样危险。已知的薄弱算法将对精明的攻击者提供很少的阻力。
为什么不安全的加密存储是危险的?
许多公司被另一个漏洞(如SQL注入)所破坏,最终无法隐藏被盗的数据。这使得一个可怕的情况变得更加糟糕。
- 成人交友网站被攻破,泄露了4.12亿个账户。这些账户的密码是用弱的SHA-1散列算法保护的。他们在一个月内就被攻击者轻易破解。
- Uber被攻破,泄露了5700万用户记录和60万司机记录。个人信息被丢失。发生这种情况是因为Uber的GitHub账户有一个包含Uber的AWS账户用户名和密码的存储库被公开......不是一个好主意。Uber的估值下降了200亿美元,主要是由于这一漏洞。
- 索尼的PlayStation网络被攻破,泄露了7700万个账户。其中1200万个账户包含未加密的信用卡信息。索尼后来就该漏洞的1500万美元集体诉讼案达成和解。
不适当地存储敏感数据显然会有严重的后果。
索尼被起诉,这是一个重大的惩罚。然而,即使你没有被起诉,声誉和监管方面的损害对企业来说可能是灾难性的。
打败不安全的加密存储
开发人员如何防止类似上述的数据泄露事件发生?
第一步是首先要确定哪些数据需要加密。毕竟,不是所有的数据都是一样的。对你的数据进行分类,然后在适当的地方使用加密。
一般来说,像社会安全号码、密码和信用卡细节等个人信息必须得到保护。根据你的业务性质,你可能需要保护健康记录或其他被视为隐私的信息。
一旦你知道哪些数据需要保护,下一步就是使用正确的工具来确保其安全性。一般来说,坚持使用经得起时间考验的、被认为是强大的加密算法是很好的。
无论怎样,都不要自己编写加密函数。它们很可能包含攻击者可以用来破解加密的缺陷。
要对社会安全号码或信用卡数据等数据进行加密,请使用AES。AES有不同的操作模式,在撰写本文时,强烈推荐的模式是伽罗瓦/计数器模式(GCM)。另一个提示是,对于要求你选择填充类型的库,要确保不使用填充物。
对于密码,使用散列算法来散列密码,因为散列算法不能被逆转。对于一个强散列值,攻击者无法检索到创建该值的原始文本。Argon2和Bcrypta被认为是散列密码的可靠选择。请记住,在散列前一定要用随机值对密码进行 "加盐",这样同一密码就不会有两个相同的散列值。
这些函数将为所有主要的编程语言/框架提供实现。请查阅你的特定语言或框架的文档,了解如何有效地使用它们。
密钥的生成、存储和管理是密码学的重要组成部分。管理不善的密钥可能会被暴露,并被用来解密你的数据。一些框架有助于密钥管理,如ASP.NET的数据保护API。关于密钥管理的一般最佳实践,请查看OWASP的小抄。
安全地存储你的数据是你防止昂贵的、令人尴尬的数据泄露的方法。在最坏的情况下,如果攻击者能够窃取你的数据,他们将更难看到或使用它来达到任何邪恶的目的。
将你的数据隐藏在众目睽睽之下
让我们快速回顾一下如何保护你的数据。
- 对你的数据进行分类,以便你知道什么需要保护
- 使用强大的、经过行业审核的算法来加密敏感数据
- 使用强大的单向哈希值存储你的密码
要进一步研究这个问题,请查看我们的学习资源。当你准备好深入学习和练习时,请用你喜欢的语言试试我们的平台。我们涵盖了很多内容!
有了这些工具,你可以防止你的数据被盗,并防止你的公司损失金钱和损害其声誉。
准备好现在就找到并修复不安全的加密存储了吗?前往竞技场,测试你的技能 [从这里开始]
数据是企业的命脉。它是企业生存、赚钱和为客户提供服务所需的基础信息。在这个越来越注重数字的社会中,开发人员作为这些珍贵信息的管理人负有巨大的责任。当开发人员不保护机密数据时,企业就会成为不安全的加密存储的牺牲品。
让我们来看看如何安全地存储数据,以及当你不这样做的时候会发生什么。
了解不安全的加密存储
当攻击者获得一个系统的访问权时,他们通常在寻找有价值的数据。你知道--那种可以用来接管某人的账户,或用来执行另一次攻击的数据。有时,这类数据只是在黑市上出售,以获得快速现金。
不安全的加密存储不是像SQL注入或XSS那样的单一漏洞。它是没有以你需要保护的方式保护你应该保护的数据的后果。
敏感信息必须得到保护。当你以明文方式存储密码和信用卡信息时,你是在用你的业务玩俄罗斯轮盘赌。
如果一个黑客闯入你的数据库并使用SQL注入、XML注入或任何其他攻击方式窃取数据,他们就会拥有一切。然而,如果你对你的数据进行加密,他们将更难真正利用这些数据。
值得注意的是,违规行为并不总是由恶意的外部人员造成。如果数据没有被加密,一个无赖的内部人员也可以轻松地窃取数据。你公司的员工不需要看到数据库中的一切,不充分的访问控制或暴露的敏感数据会导致彻底的盗窃。
还要记住,所有的加密都是不一样的。使用错误的加密算法与完全不使用它们一样危险。已知的薄弱算法将对精明的攻击者提供很少的阻力。
为什么不安全的加密存储是危险的?
许多公司被另一个漏洞(如SQL注入)所破坏,最终无法隐藏被盗的数据。这使得一个可怕的情况变得更加糟糕。
- 成人交友网站被攻破,泄露了4.12亿个账户。这些账户的密码是用弱的SHA-1散列算法保护的。他们在一个月内就被攻击者轻易破解。
- Uber被攻破,泄露了5700万用户记录和60万司机记录。个人信息被丢失。发生这种情况是因为Uber的GitHub账户有一个包含Uber的AWS账户用户名和密码的存储库被公开......不是一个好主意。Uber的估值下降了200亿美元,主要是由于这一漏洞。
- 索尼的PlayStation网络被攻破,泄露了7700万个账户。其中1200万个账户包含未加密的信用卡信息。索尼后来就该漏洞的1500万美元集体诉讼案达成和解。
不适当地存储敏感数据显然会有严重的后果。
索尼被起诉,这是一个重大的惩罚。然而,即使你没有被起诉,声誉和监管方面的损害对企业来说可能是灾难性的。
打败不安全的加密存储
开发人员如何防止类似上述的数据泄露事件发生?
第一步是首先要确定哪些数据需要加密。毕竟,不是所有的数据都是一样的。对你的数据进行分类,然后在适当的地方使用加密。
一般来说,像社会安全号码、密码和信用卡细节等个人信息必须得到保护。根据你的业务性质,你可能需要保护健康记录或其他被视为隐私的信息。
一旦你知道哪些数据需要保护,下一步就是使用正确的工具来确保其安全性。一般来说,坚持使用经得起时间考验的、被认为是强大的加密算法是很好的。
无论怎样,都不要自己编写加密函数。它们很可能包含攻击者可以用来破解加密的缺陷。
要对社会安全号码或信用卡数据等数据进行加密,请使用AES。AES有不同的操作模式,在撰写本文时,强烈推荐的模式是伽罗瓦/计数器模式(GCM)。另一个提示是,对于要求你选择填充类型的库,要确保不使用填充物。
对于密码,使用散列算法来散列密码,因为散列算法不能被逆转。对于一个强散列值,攻击者无法检索到创建该值的原始文本。Argon2和Bcrypta被认为是散列密码的可靠选择。请记住,在散列前一定要用随机值对密码进行 "加盐",这样同一密码就不会有两个相同的散列值。
这些函数将为所有主要的编程语言/框架提供实现。请查阅你的特定语言或框架的文档,了解如何有效地使用它们。
密钥的生成、存储和管理是密码学的重要组成部分。管理不善的密钥可能会被暴露,并被用来解密你的数据。一些框架有助于密钥管理,如ASP.NET的数据保护API。关于密钥管理的一般最佳实践,请查看OWASP的小抄。
安全地存储你的数据是你防止昂贵的、令人尴尬的数据泄露的方法。在最坏的情况下,如果攻击者能够窃取你的数据,他们将更难看到或使用它来达到任何邪恶的目的。
将你的数据隐藏在众目睽睽之下
让我们快速回顾一下如何保护你的数据。
- 对你的数据进行分类,以便你知道什么需要保护
- 使用强大的、经过行业审核的算法来加密敏感数据
- 使用强大的单向哈希值存储你的密码
要进一步研究这个问题,请查看我们的学习资源。当你准备好深入学习和练习时,请用你喜欢的语言试试我们的平台。我们涵盖了很多内容!
有了这些工具,你可以防止你的数据被盗,并防止你的公司损失金钱和损害其声誉。
准备好现在就找到并修复不安全的加密存储了吗?前往竞技场,测试你的技能 [从这里开始]
数据是企业的命脉。它是企业生存、赚钱和为客户提供服务所需的基础信息。在这个越来越注重数字的社会中,开发人员作为这些珍贵信息的管理人负有巨大的责任。当开发人员不保护机密数据时,企业就会成为不安全的加密存储的牺牲品。
让我们来看看如何安全地存储数据,以及当你不这样做的时候会发生什么。
了解不安全的加密存储
当攻击者获得一个系统的访问权时,他们通常在寻找有价值的数据。你知道--那种可以用来接管某人的账户,或用来执行另一次攻击的数据。有时,这类数据只是在黑市上出售,以获得快速现金。
不安全的加密存储不是像SQL注入或XSS那样的单一漏洞。它是没有以你需要保护的方式保护你应该保护的数据的后果。
敏感信息必须得到保护。当你以明文方式存储密码和信用卡信息时,你是在用你的业务玩俄罗斯轮盘赌。
如果一个黑客闯入你的数据库并使用SQL注入、XML注入或任何其他攻击方式窃取数据,他们就会拥有一切。然而,如果你对你的数据进行加密,他们将更难真正利用这些数据。
值得注意的是,违规行为并不总是由恶意的外部人员造成。如果数据没有被加密,一个无赖的内部人员也可以轻松地窃取数据。你公司的员工不需要看到数据库中的一切,不充分的访问控制或暴露的敏感数据会导致彻底的盗窃。
还要记住,所有的加密都是不一样的。使用错误的加密算法与完全不使用它们一样危险。已知的薄弱算法将对精明的攻击者提供很少的阻力。
为什么不安全的加密存储是危险的?
许多公司被另一个漏洞(如SQL注入)所破坏,最终无法隐藏被盗的数据。这使得一个可怕的情况变得更加糟糕。
- 成人交友网站被攻破,泄露了4.12亿个账户。这些账户的密码是用弱的SHA-1散列算法保护的。他们在一个月内就被攻击者轻易破解。
- Uber被攻破,泄露了5700万用户记录和60万司机记录。个人信息被丢失。发生这种情况是因为Uber的GitHub账户有一个包含Uber的AWS账户用户名和密码的存储库被公开......不是一个好主意。Uber的估值下降了200亿美元,主要是由于这一漏洞。
- 索尼的PlayStation网络被攻破,泄露了7700万个账户。其中1200万个账户包含未加密的信用卡信息。索尼后来就该漏洞的1500万美元集体诉讼案达成和解。
不适当地存储敏感数据显然会有严重的后果。
索尼被起诉,这是一个重大的惩罚。然而,即使你没有被起诉,声誉和监管方面的损害对企业来说可能是灾难性的。
打败不安全的加密存储
开发人员如何防止类似上述的数据泄露事件发生?
第一步是首先要确定哪些数据需要加密。毕竟,不是所有的数据都是一样的。对你的数据进行分类,然后在适当的地方使用加密。
一般来说,像社会安全号码、密码和信用卡细节等个人信息必须得到保护。根据你的业务性质,你可能需要保护健康记录或其他被视为隐私的信息。
一旦你知道哪些数据需要保护,下一步就是使用正确的工具来确保其安全性。一般来说,坚持使用经得起时间考验的、被认为是强大的加密算法是很好的。
无论怎样,都不要自己编写加密函数。它们很可能包含攻击者可以用来破解加密的缺陷。
要对社会安全号码或信用卡数据等数据进行加密,请使用AES。AES有不同的操作模式,在撰写本文时,强烈推荐的模式是伽罗瓦/计数器模式(GCM)。另一个提示是,对于要求你选择填充类型的库,要确保不使用填充物。
对于密码,使用散列算法来散列密码,因为散列算法不能被逆转。对于一个强散列值,攻击者无法检索到创建该值的原始文本。Argon2和Bcrypta被认为是散列密码的可靠选择。请记住,在散列前一定要用随机值对密码进行 "加盐",这样同一密码就不会有两个相同的散列值。
这些函数将为所有主要的编程语言/框架提供实现。请查阅你的特定语言或框架的文档,了解如何有效地使用它们。
密钥的生成、存储和管理是密码学的重要组成部分。管理不善的密钥可能会被暴露,并被用来解密你的数据。一些框架有助于密钥管理,如ASP.NET的数据保护API。关于密钥管理的一般最佳实践,请查看OWASP的小抄。
安全地存储你的数据是你防止昂贵的、令人尴尬的数据泄露的方法。在最坏的情况下,如果攻击者能够窃取你的数据,他们将更难看到或使用它来达到任何邪恶的目的。
将你的数据隐藏在众目睽睽之下
让我们快速回顾一下如何保护你的数据。
- 对你的数据进行分类,以便你知道什么需要保护
- 使用强大的、经过行业审核的算法来加密敏感数据
- 使用强大的单向哈希值存储你的密码
要进一步研究这个问题,请查看我们的学习资源。当你准备好深入学习和练习时,请用你喜欢的语言试试我们的平台。我们涵盖了很多内容!
有了这些工具,你可以防止你的数据被盗,并防止你的公司损失金钱和损害其声誉。
准备好现在就找到并修复不安全的加密存储了吗?前往竞技场,测试你的技能 [从这里开始]