加密算法
- 对称加密:首选AES-GCM-256
- 非对称加密:首选RSA 2048如果选择ECC首选ECC 多用于对称加密秘钥的传输
- 单向散列:首选HMAC-SHA256,无论使用那种算法都需要加盐
- 消息认证:首选HMAC-SHA256,因为它能实现消息认证,和完整性保证
传输协议
- 首选TLS1.2,新业务推荐直接使用TLS1.3及以上版本
口令标准
- 能够与SSO集成的建议继承SSO,并且配合SSO实现双因子认证或者动态口令
- 使用静态口令场景应该符合
- 不使用默认口令
- 不使用通用口令
- 口令长度不小于14位
- 应包含大写、消息、符号、字母、数字
- 用户口令
- 不小于8位
- 应包含大写、消息、符号、字母、数字
- 建议不上传用户口令,用户侧用慢速散列发给服务端,服务端通过加盐配合HMAS-SHA256存储
其他
- 使用运维提供的组件清单中的服务
- 禁止使用FTP、Telnet等不安全的服务q