यह सभी के लिए स्पष्ट है ( मुझे उम्मीद है ) कि कम से कम नमस्कार / हैशिंग के बिना पासवर्ड संग्रहीत करना एक भयानक विचार है।
ईमेल के बारे में क्या? मान लें कि आप सदस्यता ईमेल पता रखते हैं, यदि आप इसे ठीक से एन्क्रिप्ट करते हैं तो यह उपयोगकर्ताओं को ईमेल भेजने के लिए उपयोग करने योग्य नहीं हो सकता है। दूसरी ओर, यदि आप इसे एन्क्रिप्ट नहीं करते हैं और डेटाबेस चोरी हो जाता है, तो आपके सभी उपयोगकर्ता संभावित स्पैम का जोखिम उठाते हैं।
यह सवाल कानून-विशिष्ट मुद्दों के बारे में नहीं है (हालांकि उन्हें दिया जा सकता है, वे देश-निर्भर रहते हैं) या डेटाबेस को स्वयं एन्क्रिप्ट करने के बारे में।
विचार करें कि सभी को सुरक्षित तरीके से सभी PII (व्यक्तिगत पहचान योग्य जानकारी) को रखना चाहिए। वह एन्क्रिप्टेड डेटा है जिसे एप्लिकेशन (यानी कुछ सत्यापन ईमेल भेजना चाहिए) और प्रमाणीकरण के लिए उपयोग किए जाने वाले हैश / नमक डेटा (यानी पासवर्ड) चाहिए। साथ ही, निश्चित रूप से, इस मामले में डेटा आधार सुरक्षित करना अनिवार्य है।
—
इलन हुबर्मन
आप एक अलग एप्लिकेशन सेट कर सकते हैं जो उदाहरण के लिए केवल ईमेल + पासवर्ड (+ अन्य निजी डेटा) संग्रहीत करता है। आप इसे ईमेल द्वारा कॉल करने के लिए उपयोग कर सकते हैं, उदाहरण के लिए एक आंतरिक बाकी एप के साथ : localEmailServer / sendInvite / 123 जहां 123 = उपयोगकर्ता आईडी। आप लॉगिन के लिए भी ऐसा ही कर सकते हैं, लोकलइमेलस्वर / लॉगिन पर पोस्ट कर सकते हैं जो सही या गलत हो सकता है। इस तरह से आपका एप्लिकेशन हैक हो सकता है लेकिन फिर भी उनके पास ई-मेलड्रेस नहीं होगा। यदि आप इस सेवा के अनुरोधों की मात्रा को सीमित करते हैं तो यह अधिक सुरक्षित है क्योंकि आप इस हिस्से पर SQL इंजेक्शन जैसी चीजों के लिए असुरक्षित नहीं हैं।
—
ल्यूक फ्रेंकेन