Điểm:1

Bảo vệ tin nhắn trong hệ thống nhắn tin trực tuyến

lá cờ my

Trên một trang web, tôi muốn triển khai một hệ thống nơi người dùng có thể nhắn tin cho nhau. Nội dung của các tin nhắn phải được bảo vệ khỏi những kẻ tấn công đang cố đọc chúng.

Suy nghĩ đầu tiên của tôi là sử dụng cặp khóa công khai/riêng cho mỗi người dùng và mã hóa khóa riêng bằng mật khẩu của người dùng. Theo cách này, một tin tặc có quyền truy cập vào cơ sở dữ liệu sẽ không thể giải mã các tin nhắn.

Mặt khác, người dùng thường xuyên quên mật khẩu và cần đặt lại mật khẩu. Điều này sau đó sẽ có tác dụng là tất cả các tin nhắn trong quá khứ đều bị mất.

Có lẽ có một giải pháp tốt hơn cho toàn bộ quá trình và tôi chỉ đang nghĩ sai hướng. Ai đó có thể hướng dẫn tôi?

DannyNiu avatar
lá cờ vu
Bắt buộc [thảo luận meta](https://crypto.meta.stackexchange.com/q/1566/36960), sẽ sớm có câu trả lời.
J Fabian Meier avatar
lá cờ my
@DannyNiu Cảm ơn bạn. Tôi không cố gắng cạnh tranh với bất kỳ ai, tôi chỉ cố gắng thêm một cái gì đó vào một trang web nội bộ của tổ chức. Tôi chỉ muốn nó giúp người dùng dễ dàng và an toàn, được tích hợp tốt vào nền tảng hiện có.
Điểm:1
lá cờ vu

Tôi khuyên bạn nên sử dụng kiểm soát truy cập thuần túy để bảo mật.

Sử dụng mật mã khóa công khai để bảo vệ thông tin liên lạc của người dùng là rất phức tạp và có nhiều cạm bẫy tinh vi hơn là việc người dùng chỉ mất tin nhắn khi đặt lại mật khẩu.

Ví dụ: ngay cả khi giao tiếp giữa những người dùng được bảo mật, bạn vẫn phải bảo vệ người dùng của bạn khỏi thư rác trong hệ thống dịch vụ của bạn. Bạn có thể quét trước các văn bản tin nhắn do người dùng gửi trước khi cho phép người dùng khác nhận được và điều này chắc chắn là không thể thực hiện được nếu bạn mã hóa tin nhắn của người dùng trước.

Kiểm soát truy cập thuần túy có thể làm đúng, các hệ thống có thể được bảo mật trước các cuộc tấn công đã biết của tin tặc, bạn chỉ cần nỗ lực nhiều hơn và liên tục hơn để đảm bảo bạn tuân theo thông lệ tốt nhất trong ngành (ví dụ: sử dụng PKC để đăng nhập vào tài khoản quản trị của bạn trên máy chủ, đặt kiểm soát truy cập DAC và MAC đúng cách trên cơ sở dữ liệu của bạn, v.v.)

Kiểm soát truy cập thuần túy có thể hiệu quả. Sử dụng quá nhiều mật mã có thể làm phức tạp đối số bảo mật của bạn; nhưng kiểm soát truy cập thường nhất quán hơn và hiệu quả hơn, cả khi định cấu hình và khi thực thi nó.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.