帐户密码传输和 PCI DSS 合规性

Posted

技术标签:

【中文标题】帐户密码传输和 PCI DSS 合规性【英文标题】:Account password transmission and PCI DSS compliance 【发布时间】:2016-09-28 10:55:05 【问题描述】:

我正在开发一个必须符合 PCI PA-DSS 的 android 应用程序,我的问题是关于 PA-DSS_v3-1 文档中的这个要求

3.3.1 使用强加密技术使所有支付应用程序密码在传输过程中不可读。

假设我的应用程序中有一个“更改密码”功能,它通过 ssl/tls 加密连接将用户的帐户密码传输到服务器。这种加密是否足以满足要求?我需要在通过 ssl 发送之前实施某种加密吗?

谢谢。

【问题讨论】:

一只小鸟告诉我需要额外的加密,但在文档中没有看到。但我可以保留关于password cracking times 的 PCI 建议纯属废话,看来他们不知道password lists 或cracking tools。 【参考方案1】:

PCI 标准有时可能含糊不清,而且有点“开放式”,但根据我们的经验,它完全可以。

SSL/TLS 是加密,只需将其用于您忘记密码的功能就可以了。

【讨论】:

似乎“传输期间”这个短语似乎允许 SSL/TLS 安全传输媒体。但是安全身份验证是必要的,即确保没有 MITM 攻击。如果不能保证 MITM 攻击,则 SSL/TLS 不安全。通常,此身份验证可能通过证书固定来完成,即验证每一方的正确证书。

以上是关于帐户密码传输和 PCI DSS 合规性的主要内容,如果未能解决你的问题,请参考以下文章

使用opencap评估CentOS 8的PCI DSS合规

使用opencap评估CentOS 8的PCI DSS合规

使用opencap评估CentOS 6的PCI DSS合规

PayPal 定期付款 PCI 合规性

使用 AWS EC2 使我符合 PCI DSS

存储客户付款详细信息 - PCI 合规性