当在web应用程序中存储私有标识信息时,什么是“行业标准”最佳实践?
我正在构建一个托管(SaaS) web应用程序,它存储用户的姓名、电子邮件地址和雇主。到目前为止,我不打算存储信用卡号码、银行帐号或社会保险#S等。
我希望能够声称我的服务遵循“行业标准”的安全实践,但我现在有点不清楚这意味着什么。例如,由SHA-1或MD5正确加密的密码是否仍然被认为是行业标准和可接受的?
一般来说,人们会遵循什么准则从各个角度来确定“行业标准”实践,这样你就能得到充分的保护,免受恶意活动的侵害;2)如果你因数据泄露而被起诉,就不会在法庭上受到打击。
另外,如果你存储更敏感的PII,比如社会保障#,这种情况会发生什么变化?
回答 5
Security用户
发布于 2011-12-02 21:58:12
Security用户
发布于 2011-12-03 06:20:55
存储使用MD5或SHA1散列的密码不是最佳做法。最佳做法是使用使用bcrypt、scrypt或PBKDF2 2的散列密码 (参见这个问题)或使用第三方身份验证提供者,如OpenID或(震颤) Facebook。
我第二条@david6 6‘S建议OWASP是网络安全行业标准的良好信息来源。
我还建议您阅读以下两篇文章,以确保web软件开发的安全:
- 为开发人员提供极好的概述 --对于每个做web开发的程序员来说,这应该是必读的。
- 谷歌代码大学网络安全教程
他们提供了我认为每个网页开发者都需要知道的信息。我认为可以公平地说,最佳实践是让您的开发人员熟悉一些安全问题和如何编写安全代码。关于更多的阅读,看我对这件事的回答。
您还可以考虑使用自动卷取工具或雇用渗透测试器或渗透测试服务来测试网站的安全性。如果您的站点不收集或存储任何敏感信息,这可能是不必要的。但是如果它存储敏感信息,那么这可能是个好主意。
Security用户
发布于 2011-12-03 02:44:54
我在政府工作。我们遵循联邦调查局的刑事司法信息系统政策。你可以找到它,这里。
https://security.stackexchange.com/questions/9403
复制相似问题
腾讯云开发者
