网井过来做安全评估，说要对手机号做加密(唯一登录字段)

网井过来做安全评估，说要对手机号做加密，而手机号是我们用作登录的唯一字段，该用什么加密方式～

rffan

2019-06-28 10:41:37 +08:00

base64 或者 AES 或者 DES，或者 MD5，反正你加密不加密查询都一样的效果，加密只是多了一层性能损耗。

hugedeffing

2019-06-28 10:44:35 +08:00

你这个是脱敏，直接搜脱敏关键字就可以了

okwork

2019-06-28 10:54:08 +08:00

什么行业的项目，网警会来过问数据字段的安全？

uoddsa

2019-06-28 11:07:56 +08:00

@okwork 电商，我也不清楚为什么突然就过来问了。第一次遇见这种情况。

uoddsa

2019-06-28 11:08:50 +08:00

@ccoming 手机号这个字段是用来注册登录的，没有其他标示字段，所以是明文的

Keyes

2019-06-28 11:13:35 +08:00

@uoddsa 在他们来之前有没有国内商业安全公司向你们推销过安全产品或安全服务

aru

2019-06-28 11:16:26 +08:00

aes 加密即可，查询的时候先加密再比对

okwork

2019-06-28 11:20:22 +08:00

这个要求比较奇怪，大厂也不会加密吧，否则发送短信通知怎么发？

whusnoopy

2019-06-28 11:23:13 +08:00

跟你是用来做注册登录的唯一字段不冲突啊，你只要能保证加密不冲突，可以正反向加密解密，无非就是在 DB 里存的是 13800138000 还是一串乱码一样的字符串

whusnoopy

2019-06-28 11:24:36 +08:00

@okwork 又没有说只能单向 hash 加密，密钥在自己手里，也可以做可解密的加密啊

楼上有人提到了关键点：脱敏。就是如果你被人拖库了，如果没有解密密钥，人家拿到就是一串乱码，但如果直接明文存，那就有好多黑产可以玩

okwork

2019-06-28 11:31:11 +08:00

@whusnoopy 可以解密的“加密”只能算混淆吧，密码 hash 可不止防脱裤，连内部员工也能防（手动修改字符串的方式不算）。

zacharyjia

2019-06-28 11:33:22 +08:00

@okwork 但是手机号给 hash 了的话，还怎么给用户发短信啥的呀😂😂

scofieldpeng

2019-06-28 11:35:49 +08:00

@zacharyjia #16 要发送之前解密，比如，单独一个加减密服务来做加密解密操作，其他服务不需要的时候，都是加密的手机号来进行操作，楼上也说了原因了

imdong

2019-06-28 11:39:21 +08:00

显示的时候，135****1234 这样就好了，
至于数据库储存，网#不会看你数据库逻辑吧。
如果真看了，那就 base64 就 OK 了。

kimqcn

2019-06-28 11:40:19 +08:00

做个 HASH 就行了。用户登陆的时候，先做 HASH，再到数据库里查这个 HASH 就行了。

okwork

2019-06-28 11:40:38 +08:00

@zacharyjia
@scofieldpeng

我觉得这个是掩耳盗铃。既然别人都能脱裤了，程序中解密的算法一样可以被“脱”呀，这种可逆的加密有毛用？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/578209

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.