Welche Sicherheitsmaßnahmen sollte ich ergreifen, um sicherzustellen, dass bei einer Gefährdung meiner Datenbank langlebige Zugriffstoken nicht gestohlen werden können?Sicheres Speichern eines Zugriffstokens
Ein langlebiges Zugriffstoken ist so gut wie ein Benutzername und ein Passwort für einen bestimmten Dienst, aber aus Gesprächen mit anderen scheint es, dass die meisten (ich selbst eingeschlossen) Token im Klartext speichern. Dies scheint genauso schlimm zu sein wie das Speichern eines Passworts im Klartext. Offensichtlich kann man nicht das & Hash-Token salzen.
Idealerweise würde ich sie verschlüsseln wollen, aber ich bin mir nicht sicher, wie das am besten funktioniert, besonders bei einem Open-Source-Projekt.
Ich kann mir vorstellen, dass die Antwort auf diese Frage ähnlich ist wie bei der Speicherung von Zahlungsinformationen und PCI-Compliance, aber ich würde auch fragen, warum es keine weitere Diskussion darüber gibt? Vielleicht vermisse ich etwas.
Was meinen Sie "besonders auf einem Open-Source-Projekt"? Was denken Sie, dass Ihre Entscheidung, mit einer bestimmten Art von Verschlüsselungsschema zu gehen, anders ist, weil Ihr Projekt nicht Closed Source ist? –