Je suis à la recherche d'un moyen sécurisé pour stocker les mots de passe FTP dans une base de données qui ne sont utilisables que par des utilisateurs spécifiques. Les détails FTP doivent être stockés de telle manière que si toute la base de données est exposée, le mot de passe FTP n'est pas exposé. Cela devrait probablement s'appuyer sur le mot de passe de l'utilisateur pour temporairement décrypter le mot de passe FTP uniquement lorsque l'utilisateur demande une action FTP. Je suis à la recherche d'une solution qui pourrait implémenter cela. Probablement utile pour l'ajouter, il s'agit d'une application web utilisant javascript et php.Comment stocker en toute sécurité les mots de passe pour une utilisation côté serveur?
Il ne s'agit pas de savoir comment utiliser le sel, les hachages, md5, sha1, etc. Il s'agit de sécuriser les mots de passe FTP que le serveur devrait pouvoir utiliser, par ex. se connecter à un serveur FTP avec. Ce n'est tout simplement pas possible avec les hachages parce que ceux-ci ne sont qu'un moyen. Une méthode de mot de passe symétrique doit être utilisée.
Exemple de cas d'utilisation:
- utilisateur se connecte au serveur
- utilisateur dit serveur pour télécharger le fichier depuis ses détails FTP stockées en toute sécurité sur le serveur
- Server recherche les détails FTP et supprime le cryptage (éventuellement avec le mot de passe de l'utilisateur) Cette question concerne la façon dont vous mettez en œuvre cette étape efficacement
- Le serveur fait ce qu'il a à faire puis supprime le mot de passe non crypté
Je vous recommande de chiffrer les informations d'identification avec une clé fournie par l'utilisateur, et demandant à l'utilisateur de cette touche chaque fois que vous devez accéder aux informations ... Tout système vous ou Je peux concevoir où la clé et les données sont sur le même système est lié à être vulnérable. – grossvogel