我正在编写一个应用程序,该应用程序将接受第三方网站的用户凭据,这样我就可以通过截屏他们的帐户来增加价值。
为此,我需要能够用可逆的加密货币以安全的方式存储凭据,这样我就可以再次清除它们。
对于我的MVP来说,什么是安全(简单(的方式?我应该只使用AES加密并使用复合密钥(主密钥+用户帐户相关的salt(吗。
也许Hashicorp的Vault就足够了?
另一种方式问道。对于那些刮走你银行账户的产品,它们是如何存储凭据的?
谢谢各位
以另一种方式询问。对于那些刮走你银行账户的产品,它们是如何存储凭据的?
他们不刮账。他们使用银行后端供应商的API或下载导出文件。
无论如何,你绝对不想持有银行用户ID/密码。这是一个惊人的负担。如果账户被黑客入侵,每个人都会看着你来弥补损失。
查看CryptProtectData/CryptUnprotectData函数对。也许它可以解决你的问题。
没有安全的方式来存储他们的凭据。所有的方法都包括使用"主密钥"将凭据反转为纯文本,而存储身份验证信息的所有安全方法都使用单向哈希(带salting!(。永远不要加密凭据,对其进行散列。
我能想到的唯一安全的方法是在抓取时向用户询问他们的凭据,并将信息传递给抓取器,而不存储信息。请确保您通过https或类似方式执行此操作,并且您的服务器不会受到服务器上运行的其他软件的内存检查,这意味着您希望完全控制整个数据流。
这意味着,只有当用户登录到您的服务时,您才能访问用户数据。
总之,我会对这整件事非常小心。