私は誰もが何を考えているのが好奇心です。2つのデータベースまたは1つにユーザー名とパスワードを保存する方が良いですか?
アイデアは一方向暗号化されたユーザー名を1つの接続でセキュリティ保護された1つのデータベースに格納し、次に対応する一方向暗号化パスワードを別のデータベースに別のデータベースで格納することです。彼らは別々のサーバーになる可能性がありますが、私はそれが必要ではないと思います。その結果、攻撃者が他のデータベースなしで1つのデータベースにアクセスできれば、情報は役に立たなくなるでしょう。 この情報を使用するアプリケーションは、一致するハッシュされたユーザーの資格情報のみをチェックし、インデックス列が一致しているかどうかを確認します。
パフォーマンス上の問題があるかもしれませんが、最小限に抑えることができると私は考えています。私にとって、これはユーザー情報が最も安全なものになるでしょう。
ユーザー名をハッシュしますか? – Thomas
テントには安全なドアを置くことはありません。セキュリティを確保しようとしているシステムに適していることを確認してください。 – time4tea
妥協する方法によって、あるデータベースを妥協させることは許されますが、他のデータベースは妥協することはできません。答えが「あまり多くない」の場合、セキュリティは得られません。また、認証を処理するだけの非常に安全なデータベース(例えば、単純なプロトコルでシリアルリンク上でのみ接続される)を持つことを検討することもできます。 – derobert