表单身份验证 - 如何防止欺骗用户帐户只知道扩展的用户信息？

Question

我陷入了一个奇怪的困境。 请耐心等待我尝试解释它！

我正在使用表单身份验证，并将其他用户信息存储在另一个表中（从表单身份验证引用的 UserID、加密的 SSN、Salt 值）。 当用户注册该网站时，我会询问 SSN、DOB 和 LName，并在他们创建帐户之前根据我们的系统进行验证。 我想确定该 SSN 是否在表单身份验证中具有与其关联的帐户。 由于 SSN 是使用盐值加密的，因此如果不查看每一行，我就无法进行查找。

我只需要每个 SSN 1 个用户帐户。 使用盐值会破坏这一点。

在我看来，解决这个问题的唯一方法是对 SSN 使用通用的加密算法。 当用户输入时，我应用相同的加密算法并查看用户扩展属性表中是否存在值匹配。

这足够安全吗？

Answer 1

不要使用相同的盐值，而是根据其他用户信息生成盐，以便可以重建它。 因此，一旦用户应用，您就可以重新生成盐，并且可以生成预期的哈希值并在单个查询中完成工作。

Answer 2

如果您希望加密（而不是散列）SSN 值，那么将密钥存储在 Natso 指出的同一个表中并不是一个好习惯。 这充满了危险，因为密钥不会与它们保护的数据一起存储 - 如果攻击者设法获取数据库的转储，他将能够解密加密的内容，因为密钥是一起存储的。

应用程序应从安全密钥存储中获取密钥，然后使用该密钥来加密/解密信息。 这样，您可以继续在数据库中存储敏感信息，从而保护您的信息，并应用不同的机制（通常是文件系统安全）来保护您的密钥存储。

当然，假设您的要求是以安全的方式将数据存储在数据库中，并在以后的某个时间恢复相同的数据。 但是，如果您不希望数据在通过算法后即可恢复，则应该探索哈希的使用。

Answer 3

每次使用相同的盐。 然后您可以比较加密的值。