এটি সবার কাছে পরিষ্কার ( আমি আশা করি ) পাসওয়ার্ডগুলি কমপক্ষে লবণ / হ্যাশ না করে সংরক্ষণ করা একটি ভয়ানক ধারণা।
ইমেল সম্পর্কে কি? ধরা যাক আপনি সাবস্ক্রিপশন ইমেল ঠিকানা রেখেছেন, আপনি যদি এটি সঠিকভাবে এনক্রিপ্ট করেন তবে এটি ব্যবহারকারীদের ইমেলগুলি প্রেরণযোগ্য নাও হতে পারে। অন্যদিকে, আপনি যদি এটি এনক্রিপ্ট না করেন এবং ডাটাবেস চুরি হয়ে যায়, আপনার সমস্ত ব্যবহারকারীদের একটি সম্ভাব্য স্প্যামের ঝুঁকি রয়েছে।
এই প্রশ্নটি আইন-নির্দিষ্ট সমস্যাগুলির বিষয়ে নয় (যদিও এগুলি দেওয়া হতে পারে, তারা দেশ-নির্ভর হয়ে থাকে) বা ডাটাবেস নিজেই এনক্রিপ্ট করার বিষয়ে নয়।
ভাবেন যে সমস্ত পিআইআই (ব্যক্তিগত সনাক্তকরণযোগ্য তথ্য) সুরক্ষিত পদ্ধতিতে রাখা উচিত। এটি হ'ল এনক্রিপ্ট ডেটা যা অ্যাপ্লিকেশনটির উচিত (যেমন কিছু যাচাইকরণ ইমেল প্রেরণ করা উচিত) এবং প্রমাণীকরণের জন্য ব্যবহৃত হ্যাশ / লবণের ডেটা (যেমন পাসওয়ার্ড)। প্লাস, অবশ্যই, এক্ষেত্রে ডেটা বেস সুরক্ষিত করা বাধ্যতামূলক।
—
ইলান হুবারম্যান
আপনি একটি পৃথক অ্যাপ্লিকেশন সেটআপ করতে পারেন যা উদাহরণস্বরূপ কেবল ইমেল + পাসওয়ার্ড (+ অন্যান্য ব্যক্তিগত ডেটা) সঞ্চয় করে। আপনি এটির কল করে ইমেলগুলি প্রেরণের জন্য এটি ব্যবহার করতে পারেন, উদাহরণস্বরূপ অভ্যন্তরীণ বিশ্রাম এপিআই সহ: স্থানীয় ইমেইলসার্ভার / সেন্ডইনভিট / 123 যেখানে 123 = ব্যবহারকারী আইডি। আপনি লগইনের জন্য একই কাজ করতে পারেন, স্থানীয় ইমেল সার্ভার / লগইনে পোস্ট করুন যা সত্য বা মিথ্যা ফিরে আসতে পারে। এইভাবে আপনার অ্যাপ্লিকেশনটি হ্যাক হয়ে যেতে পারে তবে তবুও তাদের কাছে ই-মাইলড্রেসগুলি নেই। আপনি যদি এই পরিষেবাদিতে অনুরোধের পরিমাণ সীমাবদ্ধ করেন তবে এটি আরও সুরক্ষিত কারণ আপনি এই অংশে এসকিউএল ইঞ্জেকশনগুলির মতো জিনিসগুলির পক্ষে ঝুঁকির মতো নন।
—
লুক ফ্রাঙ্কেন