Шифрование данных?

Question

[bumbay]

Здравствуйте.

Как я понимаю, в наше время хранить данные пользователей в не шифрованном виде в базе данных очень опасно и не правильно.

Подскажи дорогие друзья, как правильно реализовать простую шифровку сообщений пользователей?
Чтобы при взломе базы хакер не видел простой текст пользователей, а шифрованные данные.

Какие есть варианты?

В использовании MongoDB и Node.JS.

Answer 1

[АртемЪ]

Безопасность это конечно хорошо, но шифровать данные в базе это уже слишком.
А как вы работать с ними собираетесь? Выборки делать? Индексы тоже шифровать?
Надо защищать базу от взлома, а не устраивать кашу внутри базы.

Comments

[bumbay]

Вот и я хочу узнать ответы на ваши вопросы.

[АртемЪ]

Шифрование хорошая штука, но надо четко понимать для чего оно предназначено, и где оно может принести пользу.
Так же надо понимать что шифрование делает работу более сложной, неудобной и ресурсоемкой.
Поэтому его стоит использовать не там где можно, а там где нужно.
Можно например зашифровать диск где размещена база - это поможет в том случае если злоумышленник получит физический доступ и унесет базу, в других случаях это бессмысленно.
Можно зашифровать данные в базе - но это тоже будет полезным только если базу вынесут.
А неудобств это создаст множество.
Поэтому надо оборонять периметр, не допускать взлома, не передавать данные по незащищенным каналам. А базу лучше оставить незашифрованной.
В любом случае работать с зашифрованными данными невозможно, а база предназначена именно для работы с данными. Во время работы данные все равно будут дешифроваться.

[bumbay]

Артем: как сделано в Telegram? Там идет шифрование только протокола? Данные у них в базах лежат не шифрованные?