0

私たちが持っているUATデータベース内のすべてのユーザーの名前とログインをスクランブルする必要があります。(データ保護法のため)

ただし、落とし穴があります。

テスターは、ハッシュされたログイン名を使用してログインできる必要があります

したがって、ユーザーログインが「Jesse.J.James」の場合、ハッシュは次のようになります。

Ypois.X.Qasdf

つまり、ほぼ同じ長さで、同じ場所にドットがあります

したがって、MD5、sha1などは、非常に長い文字列を作成し、検証正規表現で許可されていない+や=などの独自の特殊文字を追加するため適切ではありません。

だから私はこれを達成する方法についていくつかの提案を探しています

私は自分のハッシュアルゴリズムをロールする必要があると思います

誰かが似たようなことをしましたか?

私はc#を使用していますが、それはアルゴリズムにとってそれほど重要ではないと思います

どうもありがとう

追加した -

すべての答えをありがとう。「ハッシュ」という言葉を使う必要がない場合は、混乱の原因になっていると思います。

4

9 に答える 9

10

テスターは、正当なユーザーとしてログインしてはなりません。それは、あなたが取り組んでいるデータ保護法の否認防止要件に明らかに違反します。

システムは、ハッシュ値を使用して誰もログインできないようにする必要があります。それはハッシュの目的全体を打ち負かします!

申し訳ありませんが、具体的な質問にはお答えできませんが、テストシステム全体を再評価する必要があると思います。

追加した:

以下のJPLemmeのコメントは、あなたがしていることに多くの光を当てており、私は完全に誤解しているのではないかと思います(おそらく私に投票した人たちもそうです)。

混乱の一部は、ハッシュが通常パス​​ワードをスクランブルするために使用されるという事実に基づいているため、システムで作業している人を含め、他の人のパスワードが何であるかを誰も発見できません。つまり、明らかに間違ったコンテキストです(そして、パスワードだけでなくユーザー名をハッシュしている理由がわかりました)。JPLemmeが指摘しているように、実際には、ライブデータがコピーされて匿名化された完全に独立した並列システムを使用しており、ハッシュ(およびソルト!)パスワードを使用する安全なログインプロセスが悪用されることはありません。

その場合、以下のWWの回答の方が適切であり、代わりに投票を断念することをお勧めします。誤解してすみません。

于 2008-10-06T01:20:00.333 に答える
8

データをハッシュする必要はありません。元のデータとは関係がないように、ランダム化する必要があります。

たとえば、すべてのログイン名を更新し、各文字を別のランダムな文字に置き換えます。

于 2008-10-06T01:25:08.420 に答える
4

ここでは間違ったアプローチを取っていると思います。ハッシュの考え方は、それが一方向であり、誰もそのハッシュを使用してシステムにアクセスできないようにする必要があるということです(そして、可能であれば、データ保護法に違反している可能性があります。また、テスターは使用しないでくださいそれらのアカウントが独自のものでない限り、実際のアカウント。

テスターは、別の環境でモックアカウントを使用する必要があります。別の環境でモックアカウントを使用することにより、テスターに​​アカウント情報を提供する危険はありません。

于 2008-10-06T01:17:53.397 に答える
1

一般的に言って、独自の暗号化/ハッシュアルゴリズムを使用することはお勧めできません。既存のアルゴリズムは、理由のためにそれらが行うことを行います。

テスターに​​ユーザー名をハッシュするアクセスパスを与えるか、SHA-1ハッシュをコピーして貼り付けるだけでよいのでしょうか。

于 2008-10-06T01:20:40.940 に答える
1

定義上、ハッシュは一方向です。

保護しようとしているのがデータのカジュアルな閲覧だけである場合(つまり暗号化レベルが低い場合)、転置式暗号のような単純なことを行います(異なる文字の相互の1-1マッピング-AはJになり、Bは'-'など)。または、すべてを1つシフトするだけでもかまいません(IBMはHALになります)。

ただし、これはプライバシーやセキュリティを保証するものではないことを認識してください。それらがあなたが探している資質であるならば、あなたは定義上、実際のユーザーになりすますテスターを持つことはできません。

于 2008-10-06T01:29:26.150 に答える
1

この推奨事項は、組織の監査部門を通過しましたか? そうでない場合は、彼らと話したいと思うかもしれません.あなたが使用しているスキームがあなたの組織を責任から保護することはまったく明らかではありません.

于 2008-10-06T01:48:32.273 に答える
0

個人を特定できるデータにテストデータジェネレーターを使用してみませんか?

データベースにテストデータを作成する

于 2008-10-06T01:19:21.363 に答える
0

あなたにいくつかのより多くの情報を与えるために:

システムのすべてのユーザーをテキストファイルからデータベースにインポートするDTSパッケージをテストする必要があります。ライブデータを差し上げます。

ただし、データがデータベースに格納されたら、スクランブルをかけて、カジュアルリーダーには意味をなさないようにする必要がありますが、テスターはシステムにログインできます。

于 2008-10-06T01:22:26.193 に答える
0

すべての答えに感謝します。私たちのテスト戦略が間違っていることについて、あなたはほぼ間違いなく正しいと思います。

ある力の心を変えることができるかどうか見ていきます

于 2008-10-06T01:37:16.070 に答える