데이터베이스 사용자 암호는 해시로 저장됩니다 (설정에 따라 결정password_encryption), 관리자는 사용자에게 할당 된 실제 암호를 결정할 수 없습니다. SCRAM 또는 MD5 토토 베이가 클라이언트 인증에 사용되는 경우, 클라이언트가 네트워크를 통해 전송되기 전에 클라이언트를 토토 베이하기 때문에 토토 베이되지 않은 암호는 서버에 일시적으로 표시되지 않습니다. SCRAM은 인터넷 표준이며 PostgreSQL 특이 적 MD5 인증 프로토콜보다 더 안전하기 때문에 선호됩니다.

the토토 핫 PostgreSQL : 문서 : 13 : F.25. pgcrypto모듈을 사용하면 특정 필드를 암호화 할 수 있습니다. 일부 데이터 만 민감한 경우 유용합니다. 클라이언트는 암호 해독 키를 공급하고 데이터는 서버에서 암호 해독 된 다음 클라이언트로 전송됩니다.

해독 된 데이터와 암호 해독 키는 클라이언트와 서버간에 해독되고 통신되는 동안 서버에 짧은 시간 동안 존재합니다. 이것은 시스템 관리자와 같은 데이터베이스 서버에 완전히 액세스 할 수있는 사람이 데이터와 키를 가로 채는 짧은 순간을 나타냅니다..

스토리지 암호화는 파일 시스템 수준 또는 블록 레벨에서 수행 할 수 있습니다. Linux 파일 시스템 암호화 옵션에는 Ecryptf 및 ENCF가 포함되며 FreeBSD는 PEF를 사용합니다. 블록 레벨 또는 전체 디스크 암호화 옵션에는 Linux의 DM-Crypt + Luks 및 Geom 모듈 Geli 및 FreeBsd의 GBDE가 포함됩니다. 다른 많은 운영 체제는 Windows를 포함 하여이 기능을 지원합니다.

이 메커니즘은 드라이브 또는 전체 컴퓨터가 도난당한 경우 토토 베이되지 않은 데이터를 드라이브에서 읽지 못하게합니다. 파일 시스템이 장착되는 동안 공격으로부터 보호되지는 않습니다. 장착시 운영 체제는 토토 베이되지 않은 데이터를 제공하지 않기 때문입니다. 그러나 파일 시스템을 장착하려면 토토 베이 키를 운영 체제로 전달할 수있는 방법이 필요하며 때로는 키가 디스크를 장착하는 호스트 어딘가에 저장됩니다..

SSL Connections는 네트워크에서 전송 된 모든 데이터를 토토 베이합니다 : 비밀번호, 쿼리 및 반환 된 데이터. 그만큼pg_hba.conf파일 관리자가 토토 베이되지 않은 연결을 사용할 수있는 호스트를 지정할 수 있습니다 (host) 및 SSL 토토 베이 연결이 필요한 (hostssl). 또한 클라이언트는 SSL을 통해서만 서버에 연결하도록 지정할 수 있습니다.

GSSAPI 토토 베이 연결은 쿼리 및 데이터를 포함하여 네트워크를 통해 전송 된 모든 데이터를 토토 베이합니다. (네트워크에서 비밀번호가 전송되지 않습니다.)pg_hba.conf파일 관리자가 토토 베이되지 않은 연결을 사용할 수있는 호스트를 지정할 수 있습니다 (host) 및 GSSAPI-ENCRYPTED CONNECTIONS가 필요합니다 (hostgssenc). 또한 클라이언트는 GSSAPI-Encrypted Connections에서만 서버에만 연결하도록 지정할 수 있습니다 (gssencmode = require).

Stunnel또는SSH전송을 토토 베이하는 데 사용될 수도 있습니다.

클라이언트와 서버 모두 서로에게 SSL 인증서를 제공 할 수 있습니다. 양쪽에 약간의 구성이 필요하지만 이는 단순한 암호 사용보다 신분을 더 강력하게 검증합니다. 컴퓨터가 클라이언트가 보낸 비밀번호를 읽을 수있을 정도로 서버 인 척하는 것을 방지합니다. 또한 예방에 도움이됩니다“중간에있는 사람”클라이언트와 서버 간의 컴퓨터가 서버 인 척하고 클라이언트와 서버 간의 모든 데이터를 읽고 전달하는 경우

서버 시스템의 시스템 관리자를 신뢰할 수없는 경우 클라이언트가 데이터를 토토 베이해야합니다. 이런 식으로 토토 베이되지 않은 데이터는 데이터베이스 서버에 나타나지 않습니다. 서버로 전송되기 전에 클라이언트에 데이터가 토토 베이되며, 사용하기 전에 클라이언트에 데이터베이스 결과를 해독해야합니다.