问:我现在在做一个项目,其中前端工具使用的是 VB.NET 2008,后端使用的数据库是Oracle 10g Express版本。 我维护的一个表叫做USER,它用来存储用户ID和密码。现在要做的是对密码加密并存储在数据库中,而用户在VB.NET 2008中输入密码后,相同的加密密码要被访问和检测。如何实现这样的功能呢? 答:你所需要的都在DBMS_CRYPTO包中,所有需要加密、散列和混淆的数据都在里面。
在此基础上,你需要做的就是选择最适合的方法来解决问题。 从以往经验来看,应用程序密码散列应该是最好的方法,因为内部的应用程序可能并不需要很高级别的安全设置。一个合适的SHA-1散……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我现在在做一个项目,其中前端工具使用的是 VB.NET 2008,后端使用的数据库是Oracle 10g Express版本。
我维护的一个表叫做USER,它用来存储用户ID和密码。现在要做的是对密码加密并存储在数据库中,而用户在VB.NET 2008中输入密码后,相同的加密密码要被访问和检测。如何实现这样的功能呢?
答:你所需要的都在DBMS_CRYPTO包中,所有需要加密、散列和混淆的数据都在里面。在此基础上,你需要做的就是选择最适合的方法来解决问题。
从以往经验来看,应用程序密码散列应该是最好的方法,因为内部的应用程序可能并不需要很高级别的安全设置。一个合适的SHA-1散列就可以提供极好的防破解性能,而且无需管理加密密匙。你要做的就是通过一个DBMS_CRYPTO散列过程进行密码散列,然后同原先的密码进行比对,并将散列之后的密码导入到表中。
如果你只能使用加密方法,那么密匙管理就很关键了,因为它是整个过程中最重要的环节。请不要考虑使用密匙或直接引用PL/SQL过程来调用DBMS_CRYPTO,因为混淆密码用的Oracle工具包很容易受到攻击,特别是Oracle 10g以下的版本。Oracle 11g在这方面要好很多,而且还有许多其它的工具包可以使用。合适的密匙管理是非常复杂的,而且难于完成。所以有时一个合理执行的“低级”模糊处理可能比那些不合理执行的“强大”算法还要来得安全。
翻译
相关推荐
-
控制合约 不再畏惧Oracle
许多公司都与Oracle有无限制授权协议,他们害怕离开这个协议,所以就证明他们在使用Oracle的软件,即使因为需求单独购买部分授权许可也可能总体是省钱的。
-
如何应对Oracle EBS实施中的六个挑战?
在18个月的时间里,Vitamix启动运行了Oracle电子商务套件(E-Business Suite,EBS),而且Vitamix还对诸如Oracle ATG Web Commerce等所有页面属性进行了重新整理,并实现了全球数据中心。
-
Oracle的云产品“砸了自己脚”?
Sparc和Solaris都是Oracle云计划的一部分,但是硬件和支持人员的减少意味着本地Solaris和Sparc将变得更加稀少。
-
2017年3月数据库流行度排行榜 Oracle卫冕之路困难重重
时隔一个月,数据库市场经过一轮“洗牌”,旧的市场格局是否会被打破,曾经占巨大市场份额的企业是否可能失去优势?