나는 현재 직장에서 응용 프로그램을 상속 받았으며 당황스럽게도 데이터베이스에 저장된 사용자 암호는 사내 암호화 기능을 사용하여 암호화되며 해독 기능도 포함되어 있음을 깨달았습니다.
따라서 사용자가 실제로해야 할 일은 사용자 테이블을 복사하고 암호화 어셈블리 (데이터베이스 프로덕션 액세스 권한이있는 사람)를 복사하는 것입니다. 그러면 10 만 개의 전자 메일 주소와 잠재적 인 암호에 액세스 할 수 있습니다.
나는 이것이 왜 좋은 생각이 아닌지 비즈니스에 설명하려고 노력하고 있지만 보안 개념은 기술적으로 마음이 들지 않기 때문에 (정부를위한 것) 머리 위로 넘어가는 것처럼 보입니다. 또한 응용 프로그램 내에 관리자가 사용자의 암호를 검색하여 로그인하고 작업을 수행하기 위해 필요한 기존 기능이 있습니다 (필요한 내용).
따라서 보안의 의미를 이해하지 못합니다. 그리고 강력한 보안 정책 (암호를 쉽게 검색 할 수 없도록 해싱)을 구현하려면 기존 기능을 제거해야합니다.
어떻게해야합니까? 처음에는 암호 시스템을 만들지 않았으므로 문제가 발생하면 비난받을 수는 없습니다. 다른 한편으로, 나는 그것에 대해 기분이 좋지 않으며 또한 100,000 개의 잠재적 전자 메일 로그온에 액세스하고 싶지 않습니다.