關(guān)于用戶隱私信息儲存方案

weplus 更新于2023-12-17

問題描述

我在處理用戶敏感信息時，手機(jī)號碼明文脫敏，真實(shí)的手機(jī)號碼哈希算法bcrypt。

mobile = [
    'value' => '*******2888',
    'key'   => '$2y$10$QnBgZNXxIEWa0q9yuBx.jePU8u6yUlQx8JGn0M19AtJk9d8unZjo2'
];

前端需要展示用戶手機(jī)號碼的地方直接用value，敏感操作需要發(fā)短信的時候需要用戶補(bǔ)全脫敏的字符提交后由后臺進(jìn)行驗(yàn)證，通過驗(yàn)證后觸發(fā)短信。用戶登錄情況下除了多一步輸入完整的手機(jī)號步驟以外沒啥問題。
短信接口使用大廠的接口，盡量保證用戶隱私安全。
這樣搞壞處是我都不知道用戶的真實(shí)手機(jī)號碼了。

問題

在用戶未登錄的情況下我怎么判斷用戶的手機(jī)號對應(yīng)的是哪一個賬號呢？？？？？

以前做微商的時候吃過虧，用開源項(xiàng)目做了一個商城。手機(jī)號是明文的。后來數(shù)據(jù)庫被扒了，同一個團(tuán)隊(duì)下的多個代理被電信詐騙了。。。過了好久被叫過去了解情況，挨了一頓批，說沒有能力保護(hù)用戶隱私就不要收集用戶信息，再出現(xiàn)安全問題就要被處罰了。

 1498  10 0

10個回答

weplus 2023-12-17

我也是腦子生銹了，剛發(fā)完問題自己再看一遍的時候，想到在用戶未登錄的情況下進(jìn)行正常登錄操作，提交賬號密碼后檢測到異常行為時跳轉(zhuǎn)到短信驗(yàn)證頁面，提示信息給出用戶已經(jīng)脫敏的手機(jī)號碼，當(dāng)用戶輸入完整的手機(jī)號碼時系統(tǒng)下發(fā)短信。驗(yàn)證通過后登錄成功。

登錄接口加了限制請求頻率

這樣還可以避免短信接口被刷。前段時間北京不是有一家公司短信接口被刷了1300多萬次，數(shù)據(jù)泄露300多萬條數(shù)據(jù)泄露

作為開發(fā)者一定要保護(hù)用戶隱私啊~~~

暫無評論

weplus 2023-12-17

測試又遇到新問題。就是沒有辦法保證手機(jī)號碼唯一性了。
會導(dǎo)致同一個手機(jī)號綁定多個賬戶的情況。換個角度看既然是為了保護(hù)用戶隱私，手機(jī)號只是作為一個輔助驗(yàn)證的工具。允許多個賬號綁定同一個手機(jī)號好像也沒啥問題。至于重復(fù)注冊倒不需要擔(dān)心什么，哪個系統(tǒng)沒有大量僵尸號，人家愿意我們也沒必要管那么多啊。有些營銷場景要防薅羊毛的再單獨(dú)做策略就好了。

為了用戶隱私，各位路過的大佬有好的建議嗎？

暫無評論

weplus 2023-12-17

睡覺迷迷糊糊的在跟人爭論關(guān)于開發(fā)者為什么看不到手機(jī)號碼的問題，爬起來補(bǔ)了一個加解密邏輯，秘鑰和加解密函數(shù)不放到代碼中，單獨(dú)維護(hù)一套獨(dú)立的服務(wù)，后端請求返回，遇到必須要看某一個用戶的手機(jī)號碼時再解密。

這樣做可以最大程度上保證用戶的隱私信息。即使數(shù)據(jù)庫泄露，攻擊者也不太可能還原出信息，除非繼續(xù)撞或者攻擊者同時拿下所有伺服器。

但還是不想留方法來還原數(shù)據(jù)，這樣沒有真正意義上解決用戶隱私問題。
有時候我甚至在想，到底是什么原因我們一定要知道用戶更多的信息嗎？？？？

暫無評論

wocall 2023-12-17

你是好同志

暫無評論

胡桃 2023-12-18

手機(jī)號不是密碼，保存明文完全沒問題，充實(shí)不了社工庫，數(shù)據(jù)庫被扒首先考慮是服務(wù)器或者數(shù)據(jù)庫端口對外開放，并且是弱密碼甚至無密碼。

實(shí)在擔(dān)心就用非對稱加密，不過如果你的服務(wù)器已經(jīng)被第三人控制了，那再怎么加密也是徒勞。

短信接口使用大廠的接口，盡量保證用戶隱私安全。國內(nèi)所謂的大廠早已把你的個人信息包括性別、年齡、職業(yè)、收入、家庭及人際關(guān)系、消費(fèi)能力、興趣愛好偷偷記錄下來，并且打包賣給全世界的廣告公司。這句話有點(diǎn)地獄笑話的感覺。

weplus 2023-12-18

好無助，做啥都是徒勞
wocall 2023-12-18

刀口上撒鹽

MarkGo 2023-12-19

只要我不記錄，我就安全......
據(jù)我所知大廠的脫敏并不是底層不記錄，數(shù)據(jù)庫該記錄啥還是照常記錄；
只是查看數(shù)據(jù)和接口返回處，對敏感數(shù)據(jù)進(jìn)行脫敏處理而已....
你說之前被脫褲了，那解決問題應(yīng)該是理清楚在哪里存在問題然后修復(fù)吧.........

暫無評論

rui6ye 2023-12-19

如果是我要加密我會選擇aes加密，用業(yè)務(wù)代碼混淆aeskey后存儲于另外一個表
解密方法也是在業(yè)務(wù)代碼里，哪怕是拿到服務(wù)器代碼，不花個半天時間也找不到電話對應(yīng)的解密key在哪個表。

暫無評論

ichynul 2023-12-20

主要問題是被脫褲子，而不是那話兒大小問題

暫無評論

ak47f16200 2024-01-02

最終怎么解決的呢？如果加密存儲，模糊查詢怎么處理的？

weplus 2024-01-03

Eloquent ORM 使用 where 方法結(jié)合 like，只能查后4位。
weplus 2024-01-03

初衷是保護(hù)用戶隱私，想讓加密后的數(shù)據(jù)不可逆。做了一些犧牲，對用戶來說只有找回賬號密碼體驗(yàn)不好以外其他的都還好。綁定手機(jī)只是多了一個輔助驗(yàn)證的方式。用戶主要操作還是要基于賬號?；蛘呤亲鲆恍U(kuò)展綁定郵箱、2fa。敏感操作觸發(fā)風(fēng)控就要求用戶短信驗(yàn)證或者安全級別高的2fa驗(yàn)證。
weplus 2024-01-03

這樣做管理員也無法知道用戶的手機(jī)號碼是什么，后4位可能會有相同的情況。如果是售后什么的可能要根據(jù)其他信息來判斷。
還有就是同一個手機(jī)號可能會綁定多個賬號的情況，不建議僅使用手機(jī)號進(jìn)行登錄。但可以通過手機(jī)號找出該手機(jī)號曾經(jīng)綁定過的賬號。這個過程需要將用戶的手機(jī)號跟所有賬號進(jìn)行驗(yàn)證（不效率）。
如果用戶忘記賬號或者密碼。使用手機(jī)號找回賬號是找回所有賬號，用戶提交找回時除了提交手機(jī)號以外還要提供安全的電子郵箱，然后通過event事件處理。等處理完自動給用戶發(fā)送郵件。在郵件中點(diǎn)擊鏈接進(jìn)入，然后選擇賬號進(jìn)行重置密碼。
weplus 2024-01-03

用戶通過手機(jī)號找回賬號密碼，我先模糊查詢后四位，然后將用戶提交的手機(jī)號跟密文進(jìn)行校驗(yàn)。
ak47f16200 2024-01-19

恩