¿Cómo puedo proteger "Data at Rest" solo permitiendo que Service API acceda a ella desde una aplicación móvil

Navega tus respuestas
0

¿Cómo puedo proteger los datos en reposo del acceso no autorizado, pero permitiendo que mi aplicación acceda a los datos utilizando la autenticación de usuario a través de HTTPS?

Mi escenario es el siguiente:

  1. Inicie sesión en la aplicación utilizando el ID y la contraseña (la contraseña se halle con MD5)

  2. Después de la autenticación desde el servidor, el usuario carga datos en el servidor

  3. El usuario puede recuperar esos datos usando la aplicación

  4. Toda la transferencia de datos se basa en HTTPS

  5. Los datos del servidor no están cifrados

Mis preguntas son:

  1. Si cifro los datos en la ubicación en el servidor, ¿cómo puedo recuperarlos usando mi aplicación cliente?

  2. ¿Hay algún algoritmo que permita que los datos se cifren y que los datos cifrados solo se descifren y se recuperen cuando mi aplicación está intentando recuperar datos?

  3. ¿Cómo puedo evitar que los datos sean hackeados si alguien tiene acceso al servidor?

pregunta Ravikiran 16.06.2014 - 14:53
fuente

1 respuesta

0

Podrías:

  1. Cifrar / descifrar datos en el cliente, entonces el servidor solo está almacenando un blob opaco.
  2. Haga que el cliente transmita una clave que el servidor utiliza para el cifrado / descifrado.

Cualquier algoritmo de cifrado proporciona lo que desea, lo que importa es la administración de claves. Además, si su servidor está comprometido, el cifrado en reposo solo protege contra los adversarios que no pueden manipular su entorno operativo. Si pueden modificar el servidor (que generalmente son capaces de hacer , excepto el acceso a las copias de seguridad, etc.), pueden capturar los datos que entran y salen. En ese caso, solo ayudará el cifrado del lado del cliente.

Y en serio, no uses md5 para las contraseñas. Si está utilizando MD5 para hashes de contraseña, ya ha puesto en riesgo los datos del usuario. Los MD5 filtrados y sin sal son básicamente tan buenos como el texto simple en estos días. scrypt y bcrypt se consideran el estado del arte en el almacenamiento de hash de contraseñas, pero incluso SHA-2 con sal le comprará un lote en comparación con MD5.

    
respondido por el David 16.06.2014 - 18:00
fuente

Lea otras preguntas en las etiquetas

OWA + AD Política de bloqueo: bastante la mezcla ¿Cómo ve la víctima las pruebas / inyecciones de mapa de planta?