0
我正在开发一个网站,允许使用Google Authenticator进行双因素身份验证。我的问题是:什么是存储用户密钥的最佳方式?如果我将它保存在数据库中并且被黑客攻击,那么攻击者将能够生成一次性密码。而且我不能像单向加密密码那样加密它,因为我需要这个秘密种子来生成一次性密码。如何安全存储Google身份验证器密钥?
A
回答
0
您可以将其存储在安全令牌(智能卡)中,但是您必须配置对该安全令牌的访问权 - 这会将您带回原始问题。如果您能够在启动应用程序之前执行操作,那么您可以使用基于密码的加密来保护(包装)密钥。或者您可能需要密码才能持有密钥。 USB存储卡也可用于永久存储密钥(不要忘记备份)。
显然,首先保护对应用程序的访问是一个好主意。您在某个时间点可能仍然需要内存中的密钥,因此如果内存不受保护,攻击者就可以将其剔除。
另一种方法经常用它来混淆密钥。但是,无论以何种方式进行混淆,一个坚定的黑客通常都不会有太多的麻烦。
相关问题
- 1. 如何在iOS/Objective-C中存储身份验证密钥?
- 2. Laravel存储安全密码并进行身份验证
- 3. 安全的Google身份验证
- 4. Google云存储身份验证混淆
- 5. 安全API身份验证
- 6. 安全LDAP身份验证
- 7. 安全存储AES密钥
- 8. 如何安全地存储密钥?
- 9. Kerberos身份验证密钥表KVNO
- 10. 应用程序身份验证密钥
- 11. 带密钥的身份验证用户
- 12. Cookie或RESTful密钥的身份验证?
- 13. Swift Api密钥身份验证
- 14. 使用.NET安全存储身份验证令牌
- 15. 通过SOAP服务向JIRA进行身份验证时存储安全密码
- 16. 当通过SSO进行身份验证时,秘密密钥或私钥密钥是否安全?
- 17. 如何存储密码?表单身份验证
- 18. 将身份验证令牌存储在HTML本地存储中是否安全?
- 19. 使用jwt无需身份验证即可安全使用api密钥
- 20. 身份验证公钥
- 21. 表单身份验证票证是在cookie中存储密码?
- 22. ASP.Net WebApi身份验证和安全
- 23. RESTful API身份验证和安全
- 24. Django安全和身份验证
- 25. ASMX安全性无身份验证
- 26. SproutCore安全和身份验证问题
- 27. PHP:安全的用户身份验证?
- 28. 多用户IPython身份验证/安全
- 29. 身份验证安全问题
- 30. 春季安全 - 基本身份验证
在另一个StackExchange站点有一个关于此问题的较旧讨论:http://security.stackexchange.com/questions/24092/how-to-store-otp-seed-securely-at-the-validating-server – anthonyryan1