Cifrado: ¿Cuál es la mejor manera de almacenar nombre de usuario y contraseña en una base de datos?

Aparte de la respuesta de Bill aquí está la toma de mí.

  1. Siempre recurra al hash de la contraseña sin procesar que utiliza el usuario al registrarse.
  2. Hash la contraseña con sal. La sal es una cadena aleatoria que se deriva criptográficamente para la unicidad. Tengo muchas opciones en .NET, pero no sé nada sobre otras bibliotecas para otros idiomas.
  3. Almacene la sal en la tabla de la base de datos en una columna. Necesita esta sal para poder verificar un intento de inicio de sesión. (hash => contraseña + sal de la base de datos en comparación con la contraseña de la base de datos). Si son iguales, tiene la contraseña correcta. Continúe y redirija al usuario a otras páginas.
  4. Use una sal razonablemente grande para complicar el proceso para un hacker. La longitud depende de la importancia de la información de datos para usted.
  5. Habilite el registro y las transacciones para que tenga todos los datos en caso de que ocurra algo terriblemente malo.

Ahh y lo olvidé: nunca recurras a algo como lo siguiente, pensando que tienes un mecanismo de contraseña seguro.

SHA (MD5 (bcrypt (hash (contraseña + salt))) Siempre manténgalo simple.

bcrypt (contraseña + sal)

Related Content

¿Qué impacto ha tenido internet en el mundo?

Cómo hacer mi propia estación de radio por internet

¿Se puede encontrar Adobe Photoshop en Internet de forma gratuita?

¿Cómo debo invertir en aprendizaje en línea?

¿Cómo hago un pago a través de UPI sin Internet o con una pérdida de la conexión a Internet durante el proceso de transacción?

Las respuestas anteriores a esta pregunta fueron muy buenas, pero quiero asegurarme de enfatizar dos cosas. Cuando se trata de almacenar contraseñas con hash, siempre use SALT (pepper es opcional :). La razón es porque si solo usa una función hash, alguien podría usar una tabla de arcoíris para romper contraseñas cortas o comunes. La segunda cosa que recomendaría es que nunca, jamás, inventes tu propia forma de hacerlo. Use algo como bcrypt o alguna otra biblioteca que haya sido completamente probada y examinada. ¿Por qué? Los sistemas criptográficos son difíciles de crear. Sugeriría leer http://www.schneier.com/blog/arc … para dar una perspectiva.

Shawn Hermans

El método que se considera mejor en estos días es una función de derivación de clave que toma el tiempo suficiente para calcular la contraseña de manera que sea rápido para que un solo usuario inicie sesión o cambie su contraseña, pero demasiado lento para que un atacante haga millones de intentos en rompiéndolo.

Ejemplos incluyen:

Shawn Hermans

Lo más importante que debe recordar aquí es que no debe recopilar nombres de usuario y contraseñas como lo hace Pokemon porque en el momento en que almacenamos la contraseña de un usuario, también asumimos la responsabilidad de asegurar su contraseña.

Incluso si los hackers tienen nuestra tabla de nombre de usuario y contraseña, estamos cubiertos, ¿verdad? Todo lo que verán es el valor hash. Solo los desarrolladores más incompetentes realmente almacenarían la contraseña como texto sin formato en la base de datos, ¿verdad? ¿Correcto?

Incorrecto.

La mayoría de los usuarios tienden a reutilizar las mismas contraseñas, probablemente porque no pueden recordar las dos docenas de nombres de usuario y contraseñas únicas que se ven obligados a tener. Entonces, si obtiene la contraseña de su foro, es probable que también tenga la contraseña de algo mucho más peligroso: la banca en línea y PayPal.

Por lo tanto, podemos hacer lo siguiente:

  • No invente su propio esquema inteligente de almacenamiento de contraseñas. Las vulnerabilidades de seguridad, a diferencia de los errores de funcionalidad en su aplicación, se ejecutan de manera profunda y silenciosa. Pueden permanecer latentes durante años.
  • Nunca almacene contraseñas como texto sin formato. Esto se siente como seguridad 101 y es completamente obvio. Almacene los hashes, nunca las contraseñas reales. Eduque a sus desarrolladores.
  • Agregue una sal aleatoria larga y única a cada contraseña que almacene. Esto te hará inmune al ataque de la mesa arcoiris.
  • Use un hash criptográficamente seguro. SHA-2 o Bcrypt es una mejor opción que MD-5.
Shawn Hermans

More Interesting

Cómo controlar la adicción a internet

Cuando las señales eléctricas se transforman en señales de luz en fibra óptica, ¿los datos se convierten en luz?

¿Cuál es el proveedor de Internet más rápido en India?

HTTP: cuando mi navegador se queja de demasiados redireccionamientos, ¿qué está pasando bajo el capó?

¿Cuál es la mejor manera de descargar un artículo desde una página web?

¿Cuál es la forma más fácil de beneficiarse de internet?

Algunas personas con las que he estado trabajando han estado pirateando mi Internet y mis cuentas de correo electrónico. ¿Cómo mantengo mi privacidad?

¿La gente estaría entusiasmada por obtener calificaciones sobre lo que publican en Internet?

¿Cuál es la obsesión con los adolescentes blancos diciendo negro, especialmente en internet?

¿Cómo determina el tamaño del espectro la velocidad de Internet en 3g y lte?

¿Crees que la nueva política de comentarios de YouTube de compartirlo en Google+ es legal y una forma de negocio adecuada?

Cómo encontrar el servicio de reparación de electrodomésticos en internet

¿Por qué se eliminan los torrents viejos en todo Internet?

¿Por qué TRAI no condenó la política de violación de la neutralidad de la red de Airtel Zero?

¿Puedes ser adicto a internet?