Entiendo que el uso de MD5 no es seguro y no es compatible con PCI.
¿El uso de BCrypt cumple con el cumplimiento de PCI
Entiendo que el uso de MD5 no es seguro y no es compatible con PCI.
¿El uso de BCrypt cumple con el cumplimiento de PCI
Entiendo que el uso de MD5 no es seguro y no es compatible con PCI.
Lamentablemente, en algunos casos puede ser: enlace
¿El uso de BCrypt cumple con el cumplimiento de PCI
El problema de fondo es que el espacio del número de la tarjeta de crédito es tan corto que el forzamiento brutal es básicamente razonable. Creo que el patrón de preguntas que deberías estar haciendo es:
Por lo tanto, de lo que deberíamos hablar es por qué necesita almacenar estos datos y cómo accederá a ellos, confirmando que PCI dice que puede almacenarlos y luego averiguar la respuesta adecuada.
... aquí está la respuesta directa:
3.4 Haga que el PAN sea ilegible en cualquier lugar donde se almacene (incluso en medios digitales portátiles, medios de copia de seguridad y registros) utilizando cualquiera de los siguientes métodos:
- Hashes de una vía basados en criptografía fuerte (el hash debe ser de todo el PAN)
... que BCrypt satisfaría. Más información: enlace
¿Son estas dos preguntas o una? Brypt no utiliza MD5 y es una de las funciones de derivación de contraseña más seguras. Sin embargo, como cualquier función de una sola vía, se debe sembrar con un secreto (sal), especialmente si la entrada es de baja aleatoriedad, como los números de tarjetas de pago.
Lea otras preguntas en las etiquetas hash encryption pci-dss