我正在开发一个 python/django 应用程序,除其他外,它将数据同步到各种其他服务,包括 samba 共享、ssh(scp) 服务器、Google 应用程序等。因此,它需要存储访问这些服务的凭据。我认为,将它们存储为未加密的字段是一个坏主意,因为 SQL 注入(inject)攻击可以检索凭据。所以我需要在存储之前加密凭证 - 有没有可靠的库来实现这一点?
一旦凭证被加密,就需要在使用前解密。我的应用程序有两个用例:
或者我应该采取什么不同的方法来解决这个问题?
最佳答案
首先在服务器上存储足以登录多个系统的凭据看起来就像一场噩梦。无论加密方式如何,您服务器上的妥协代码都会泄露它们。
您应该只存储执行任务所需的凭据(即文件同步)。对于服务器,您应该考虑使用同步服务器,如 RSync ,对于谷歌来说,像 OAuth 这样的协议(protocol)等等。这样,如果您的服务器受到威胁,这只会泄漏数据,而不会泄漏对系统的访问。
接下来是加密这些凭据。对于密码学,我建议您使用 PYCrypto .
对于您在密码学中使用的所有随机数,通过 Crypto.Random(或其他一些强大的方法)生成它们,以确保它们足够强大。
您不应使用相同的 key 加密不同的凭据。我推荐的方法是这样的:
需要解密时取出小号 创建 K 并用相同的IV解密。
对于哈希,我建议使用 SHA1,对于加密 — AES。散列和对称密码足够快,因此使用更大的 key 大小不会受到伤害。
这个方案在某些地方有点过头了,但这同样不会受到伤害。
但请再次记住,存储凭据的最佳方法不是存储凭据,当您必须存储时,请使用允许您完成任务的最低权限的凭据。
关于python - 在 Django 中安全地存储加密凭证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12904560/