¿Cuál es la mejor manera de transformar números de cuenta confidenciales?

Question

¿Cuál es la mejor manera de transformar números de cuenta confidenciales?

#1 de Enos D'Andrea (1 votos)
#2 de Rory Alsop (1 votos)

4

Trabajo en una aplicación web que administra información sobre las configuraciones de transmisión y procesa las estadísticas de transmisión del cliente para generar cargos de facturación por los servicios utilizados por estos clientes.
El equipo que respalda a estos clientes puede ver la información de configuración, incluida la información de la cuenta y los controles de acceso de los usuarios cumplen con los requisitos para el uso de esta información en la producción.

Para las pruebas, los datos se transfieren a los entornos de prueba / desarrollo, donde los números de cuenta deben ser "saneados" o "transformados" de la mejor manera para evitar que los entornos de prueba / desarrollo expongan estos números de cuenta.
He trabajado con el cifrado de datos y el hash de datos y estoy buscando sugerencias / comentarios sobre cuáles son las mejores prácticas para el "saneamiento / transformación" de estos números de cuenta.

Gracias por cualquier comentario que pueda proporcionar.

privacy hash encryption

pregunta Dean 15.12.2014 - 19:06

fuente

2 respuestas

Lea otras preguntas en las etiquetas privacy hash encryption

aplicación de iOS pentest sin jailbreak ¿Cuál es la mejor manera de ejecutar el ataque MitM en mi red inalámbrica?

score 1 · Answer 1

Si debe absolutamente usar datos de producción en DEV, puede producir una tabla que coincida con los ID de cuenta reales con los aleatorios, luego destruir o proteger adecuadamente la tabla después de transferir datos.

 REAL ID  |  FAKE ID
 --------------------
 0000001  |  3287638
 0000002  |  5917382
 etc.

Tenga cuidado con los datos de DEV que pueden incluir otra información relacionada con el número de cuenta (por ejemplo, un correo electrónico), lo que permite a una persona malintencionada obtener el número de cuenta de los datos públicos. Otro riesgo es que los usuarios malintencionados prueben las cuentas en producción de forma brutal con las configuraciones que se encuentran en DEV.

score 1 · Answer 2

Además de la técnica que menciona Enos, otra técnica común es usar hashes. Para muchos requisitos de prueba, los hashes serán suficientes. Un par de gotchas, sin embargo:

Si el espacio no es lo suficientemente grande, las colisiones podrían causar problemas
Si tiene una lógica que hace algo así como hacer coincidir los tipos de cuenta en los primeros 4 dígitos que son 0123, el hashing fallará en este tipo de lógica