如何确定我的用户管理系统需要什么安全级别？

Question

我知道这可能是一个很长的话题，也是无穷无尽的，但因为我是处理和理解网站安全措施的新手段，所以我仍然不能说出我的用户管理系统的安全性。

基于我读过，安全等级实际上取决于什么样的信息将被处理，并通过网站使用。对我而言，我很可能会使用一些基本的会员/客户信息，例如国家，全名，电子邮件以及电话号码。

现在，我想肯定我在这里做什么;我正在尝试创建一个符合此标准的用户成员资格系统，将安全性视为我的首要任务。我开始阅读一些术语以及它们的用途。

如果我错了，请纠正我。例如，在发送数据到数据库之前正在使用加密，而在进行身份验证时正在使用散列。现在据我所知，使用bcrypt进行哈希是最好的做法。那么在这种情况下加密数据的最佳做法是什么？

我不会因为它被认为是弱加密的方法再使用MD5。

还什么安全的水平，我需要在我的情况？

任何好评都是赞赏。

感谢，

Answer 1

大多数时候，你会希望使用现有的软件包来管理这些事情的时间。

你与你的假设是正确的，在数据​​库中的机密信息应该被加密，如果不是散列。由于您不需要以明文形式检索密码，所以密码应该散列化，而电话号码应该加密，因为您希望它在受保护的同时仍能以简单形式访问。

如果你坚持要从头开始实施你的网站的安全特性，考虑blowfish或AES。

有攻击的许多可能的载体在一个自制的加密/身份验证套件，确保您充分利用可用的解决方案重新发明轮子之前。

---

但是，为了回答你的问题，使用blowfish或AES，它们是固体。