security - 是否值得对数据库中的电子邮件地址进行加密？

Question

我已经在使用salted hashing将密码存储在我的数据库中，这意味着我应该不受 rainbow table 的影响攻击。

不过我有一个想法:如果有人确实掌握了我的数据库怎么办？它包含用户的电子邮件地址。我无法真正对这些进行哈希处理，因为我将使用它们来发送通知电子邮件等。

我应该加密它们吗？

Answer 1

Bruce Schneier 对此类问题有很好的应对。

Cryptography is not the solution to your security problems. It might be part of the solution, or it might be part of the problem. In many situations, cryptography starts out by making the problem worse, and it isn't at all clear that using cryptography is an improvement.

本质上，“以防万一”对数据库中的电子邮件进行加密并不能真正使数据库更安全。数据库的 key 存储在哪里？这些 key 使用哪些文件权限？数据库可以公开访问吗？为什么？这些帐户有哪些帐户限制？机器存放在哪里，谁可以物理访问这个盒子？远程登录/ssh 访问等等怎么样？

所以我想如果你愿意的话你可以加密电子邮件，但如果这就是系统安全的程度，那么它实际上并没有多大作用，而且实际上会使维护数据库的工作变得更加困难。

当然，这可能是您系统的广泛安全策略的一部分 - 如果是这样那就太好了!

我并不是说这是一个坏主意 - 但为什么要在 Deadlocks'R'us 的门上安装一把值(value) 5000 美元的锁，因为他们可以切开门周围的胶合板呢？或者从你打开的 window 进来？或者更糟糕的是，他们发现了留在门垫下的 key 。系统的安全性取决于最薄弱的环节。如果他们拥有 root 访问权限，那么他们几乎可以做他们想做的事。

Steve Morgan很好的一点是，即使他们无法理解电子邮件地址，他们仍然可以造成很多伤害(如果他们只有 SELECT 访问权限，则可以减轻这种伤害)

了解存储电子邮件地址的根本原因也很重要。我可能有点过分了 this answer ，但我的观点是，您真的需要存储帐户的电子邮件地址吗？最安全的数据是不存在的数据。