11
私はASP.NET MVCでWebアプリケーションを作成していますが、パスワードをデータベースに保存したいと思います。AESキーをどこに保存しますか?
パスワードは回復可能でなければなりません。 (彼らは自分のためではない、本当のパスワードが必要なAPIと通信するためにはパスワードが必要なので)ハッシュアルゴリズムなどは使用できません。
私はAESが私にとって優れた暗号化アルゴリズムであることを発見しました。
しかし、問題は次のとおりです。AESキーをどこに保存するのですか? appsettingsweb.configの中に十分保存していますか?鍵を見つけにくくする方法(ハッカーのために)
次の質問:このシステムをより安全にするためのアイデアはありますか?
もちろん、別の鍵で鍵を暗号化し、さらにその鍵をさらに別の鍵となるように暗号化することができます。しかし、それはあなたが達成しようとしていることを考えるのに払われ、それは情報へのアクセスを制限することです。これを達成するための方法があり、そのほとんどは暗号化ではありません。 –
だから、どのようにお勧めしますか? web.configにキーを格納し、web.configを十分に暗号化していますか? –
はい、確かにあなたの*キーマネージメント*スキームの一部である可能性があります(コメント)。私はちょうどあなたが暗号化メカニズムを見ているだけではないことを確認していた。 'web.config'を解読するキーはどこに行きますか?誰がそれにアクセスできますか? –