데이터베이스 사용자 암호는 해시로 저장됩니다 (설정에 따라 결정password_encryption), 관리자는 사용자에게 할당 된 실제 암호를 결정할 수 없습니다. SCRAM 또는 MD5 암호화가 클라이언트 인증에 사용되는 경우, 클라이언트가 네트워크를 통해 전송되기 전에 클라이언트를 암호화하기 때문에 암호화되지 않은 암호는 서버에 일시적으로 표시되지 않습니다. SCRAM은 인터넷 표준이며 PostgreSQL 특이 적 MD5 인증 프로토콜보다 더 안전하기 때문에 선호됩니다.

thePostgreSQL : 문서 : 17 : F.26. pgcrypto - 범퍼카 토토 기능모듈을 사용하면 특정 필드를 암호화 할 수 있습니다. 일부 데이터 만 민감한 경우 유용합니다. 클라이언트는 암호 해독 키를 공급하고 데이터는 서버에서 암호 해독 된 다음 클라이언트로 전송됩니다.

해독 된 데이터와 암호 해독 키는 클라이언트와 서버간에 해독되고 통신되는 동안 서버에 짧은 시간 동안 존재합니다. 이것은 시스템 관리자와 같은 데이터베이스 서버에 완전히 액세스 할 수있는 사람이 데이터와 키를 가로 채는 짧은 순간을 나타냅니다..

스토리지 암호화는 파일 시스템 수준 또는 블록 레벨에서 수행 할 수 있습니다. Linux 파일 시스템 암호화 옵션에는 Ecryptf 및 ENCF가 포함되며 FreeBSD는 PEF를 사용합니다. 블록 레벨 또는 전체 디스크 암호화 옵션에는 Linux의 DM-Crypt + Luks 및 Geom 모듈 Geli 및 FreeBsd의 GBDE가 포함됩니다. 다른 많은 운영 체제는 Windows를 포함 하여이 기능을 지원합니다.

이 메커니즘은 드라이브 또는 전체 컴퓨터가 도난당한 경우 롤 토토되지 않은 데이터를 드라이브에서 읽지 못하게합니다. 파일 시스템이 장착되는 동안 공격으로부터 보호되지는 않습니다. 장착시 운영 체제는 롤 토토되지 않은 데이터를 제공하지 않기 때문입니다. 그러나 파일 시스템을 장착하려면 롤 토토 키를 운영 체제로 전달할 수있는 방법이 필요하며 때로는 키가 디스크를 장착하는 호스트 어딘가에 저장됩니다..

SSL Connections는 네트워크에서 전송 된 모든 데이터, 즉 비밀번호, 쿼리 및 리턴 된 데이터를 롤 토토합니다. 그만큼pg_hba.conf파일 관리자가 롤 토토되지 않은 연결을 사용할 수있는 호스트를 지정할 수 있습니다 (host) 및 SSL 롤 토토 연결이 필요한 (hostssl). 또한 클라이언트는 SSL을 통해서만 서버에 연결하도록 지정할 수 있습니다.

GSSAPI 롤 토토 연결은 쿼리 및 데이터를 포함하여 네트워크를 통해 전송 된 모든 데이터를 롤 토토합니다. (네트워크에서 비밀번호가 전송되지 않습니다.)pg_hba.conf파일 관리자가 롤 토토되지 않은 연결을 사용할 수있는 호스트를 지정할 수 있습니다 (호스트) 및 GSSAPI-ENCRYPTED CONNECTIONS가 필요합니다 (hostgssenc). 또한 클라이언트는 GSSAPI-Encrypted Connections에서만 서버에만 연결하도록 지정할 수 있습니다 (gssencmode = require).

Stunnel또는SSH전송을 롤 토토하는 데 사용될 수도 있습니다.

클라이언트와 서버 모두 서로에게 SSL 인증서를 제공 할 수 있습니다. 양쪽에 약간의 구성이 필요하지만 이는 단순한 암호 사용보다 신분을 더 강력하게 검증합니다. 컴퓨터가 클라이언트가 보낸 비밀번호를 읽을 수있을 정도로 서버 인 척하는 것을 방지합니다. 또한 예방에 도움이됩니다“중간에있는 사람”클라이언트와 서버 간의 컴퓨터가 서버 인 척하고 클라이언트와 서버 간의 모든 데이터를 읽고 전달하는 경우

서버 시스템의 시스템 관리자를 신뢰할 수없는 경우 클라이언트가 데이터를 롤 토토해야합니다. 이런 식으로 롤 토토되지 않은 데이터는 데이터베이스 서버에 나타나지 않습니다. 서버로 전송되기 전에 클라이언트에 데이터가 롤 토토되며, 사용하기 전에 클라이언트에 데이터베이스 결과를 해독해야합니다.