摘錄自《白帽子講web安全》一書,供需要時(shí)速查。
- 不要使用ECB模式;
- 不要使用流密碼(比如RC4);
- 使用 HMAC-SHA1 代替 MD5(甚至是代替 SHA1);
- 不要使用相同的key做不同的事情;
- salts 與 IV 需要隨機(jī)產(chǎn)生;
- 不要自己實(shí)現(xiàn)加密算法,盡量使用安全專家已經(jīng)實(shí)現(xiàn)好的庫;
- 不要依賴系統(tǒng)的保密性。
當(dāng)你不知道該如何選擇時(shí),有以下建議:
- 使用CBC模式的 AES256 用于加密;
- 使用 HMAC-SHA512用于完整性檢查;
- 使用帶 salt 的 SHA-256 或 SHA-512 用于 Hashing。