程序员以代码的形式征服安全基础架构系列:不安全的密码学
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
