我只是想知道当我将用户联系信息存储在数据库中时是否应该加密它?
例如电子邮件、电话号码等...
【问题讨论】:
标签: sql sql-server database encryption
通常您只加密敏感信息,这取决于您的项目要求。如果用户电子邮件或电话号码很敏感,请对其进行加密。另一方面,由于您需要从数据库中获取联系人信息,因此您将使用对称加密,并且很容易解密,因此您在这种情况下的“安全性”只是滥用数据并且不够强大。
无论如何,您应该始终对密码等敏感数据进行加密,我建议使用哈希进行非对称加密。
在我的项目中,我从不需要加密任何联系信息,并且只有密码在数据库中被加密。如果您正在实施 Web 应用程序,我建议您使用安全令牌(基于声明的安全性)并在网络上旅行时对所有联系信息进行加密(通过使用消息或传输安全性),因此泄露任何联系人的风险非常低向第三方提供信息。
【讨论】:
我要解决更广泛的问题:我应该加密吗?
在我非常拙劣的看法中,如果信息以任何方式与个人身份相关联并且可以公开访问您的网站或网络,那么答案是肯定的。我将忽略索引和搜索加密信息的技术复杂性,只给你以下思考:
这是一条非常简单的路径,而且很多信息都是公开记录的,所以从某种意义上说,保护它是一个有争议的问题。但是,如果您被打官司,并且确实发生了,那么当您每小时向您的律师支付 500 美元时,您可能会感到很不自在。
【讨论】:
仅当您预计您的安全受到威胁或知道不值得信任的人将直接访问您的数据库时,加密联系信息才有意义。
单向加密(散列)将使您的数据无用,因为无法检索它,因此您必须使用某种形式的可逆加密。
在您的数据库中加密联系人信息会有一些缺点,最明显的是:
请注意,可逆加密的弱点在于解密所需的密钥。不要将其存储在同一个数据库中。
使用传输层安全性(如 SSL)更有意义。
【讨论】: