데이터베이스에서 이메일 주소를 일반 텍스트로 유지해야합니까?


14

그것은 모든 사람 (에 분명 내가 희망 을 해싱 / 적어도 소금에 절인없이 암호를 저장하는 것은입니다) 끔찍한 생각.

이메일은 어떻습니까? 가입 이메일 주소를 유지한다고 가정 해 봅시다. 제대로 암호화하면 사용자에게 이메일을 보내지 못할 수도 있습니다. 반면에 암호화하지 않고 데이터베이스를 도난 당하면 모든 사용자가 스팸을 일으킬 위험이 있습니다.

이 질문은 법률 관련 문제 (국가에 따라 다를 수 있음) 나 데이터베이스 자체 암호화에 관한 것이 아닙니다.


모든 PII (개인 식별 정보)를 안전하게 보관해야한다고 생각하십시오. 즉, 응용 프로그램에 필요한 암호화 데이터 (예 : 확인 전자 메일 보내기) 및 인증에 사용되는 해시 / 소금 데이터 (예 : 비밀번호)입니다. 물론이 경우에는 데이터베이스 보안이 필수입니다.
Ilan Huberman

예를 들어 이메일 + 비밀번호 (+ 기타 개인 데이터) 만 저장하는 별도의 애플리케이션을 설정할 수 있습니다. 이를 사용하여 예를 들어 내부 나머지 API ( localEmailServer / sendInvite / 123)를 사용하여 이메일을 보내 이메일을 보낼 수 있습니다 . 여기서 123 = 사용자 ID입니다. 로그인에 대해 동일한 작업을 수행 할 수 있으며 true 또는 false를 반환 할 수있는 localEmailServer / login에 게시 할 수 있습니다. 그렇게하면 응용 프로그램이 해킹 당할 수 있지만 여전히 전자 메일 주소가 없습니다. 이 서비스에 대한 요청 수를 제한하면이 부분의 SQL 주입과 같은 것에 취약하지 않기 때문에 더 보호됩니다.
Luc Franken

답변:


9

계정 확인 / 인증 목적으로 만 해당 레코드를 보관하는 경우 전자 메일 주소의 소금에 절인 해시를 저장하는 것이 옵션 일 수 있습니다.

다른 경우에는 전자 메일을 암호화하면 데이터베이스를 유지 관리하는 작업이 거의 들리지 않으면 서 거의 수익을 얻지 못하는 것 같습니다.

데이터베이스 자체의 액세스를 보호하는 것이 더 나은 선택입니다. 일반적으로 데이터베이스에 수집하지 않으려는 많은 다른 정보가 있습니다.


Stackoverflow에 대한 비슷한 질문 : 데이터베이스에서 이메일 주소를 암호화 할 가치가 있습니까?


그 질문을 보지 못했습니다! 기록을 위해, 그것은 오래된 질문이지만 지금은 프로그래머에게 속해야한다고 생각합니다 .SE.
Pierre Arlaud

3
@PierreArlaud : 사실, 프로그래밍과는 전혀 관련이 없기 때문에 정보 보안보다 모든 것이 더 나을 것입니다.
Blrfl

실제로 이메일 암호화에 대한 수익이 있습니다. 동일한 손상된 데이터베이스에 키를 저장하지 않으면 나쁜 사람이 전자 메일을 사용하지 못하게됩니다. 이메일은 계정 활성화 및 자격 증명 변경에 많이 사용됩니다.
NoChance

2

나는 당신이 이미 모든 것을 말한 것으로 생각합니다.

내가 생각할 수있는 유일한 것은 전자 메일 주소를 저장하기 위해 SHA1과 같은 단방향 해시 필터를 사용하지 않는 것입니다. 응용 프로그램에서 일부 (가역 가능한) 공개 키 암호화를 사용하고 개인 키가 데이터베이스 근처에 없어서 함께 "도난"할 수 없도록하십시오.

이렇게하면 이메일 주소를 해독하여 이메일을 보낼 수 있습니다.


6
과? 과? 서스펜스가 나를 죽이고있다 :)
Pierre Arlaud

그리고 뭐? 긴장감이 무엇입니까? 데이터베이스에 저장하기 전에 앱에서 암호화 (암호 해독 가능)한다는 것은 데이터베이스가 도난 당하거나 해킹 된 경우 걱정할 필요가 없다는 것을 의미합니다. 그러나 이메일을 보내려는 경우 이메일 주소를 데이터베이스에서 해독 할 수 있습니다. ? 뭔가 빠졌습니까?
Mawg는 모니카 복원

2
답의 마지막 문자에 대한 의견 : D
Pierre Arlaud

나는 당신의 대답이 manlio 가하지 않았다고 말하는 것을 찾으려고 노력하고 있습니다. 기본적으로 아이디어는 솔트 해시와 같은 전자 메일의 가역 해시를 갖는 것입니다. 아니면 당신은 완전히 다른 생각을 가지고 있습니까?
Pierre Arlaud

죄송합니다. 동시에 제출 한 것 같습니다.
Mawg는 모니카 복원
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.