Bueno, no estoy muy seguro si eso es completamente correcto. Quora puede almacenar (espero que sí) el valor cifrado o hash de su contraseña, pero aún así parece que cuando inicia sesión, su contraseña de texto sin cifrar se envía como datos de formulario a los servidores de Quora, donde se manejarán en texto claro en un momento a tiempo. Para hacer PBKDF2, tendría que recibir un valor de sal, que debería ser enviado a su primero (o un valor de sal basado en su nombre de usuario, como alternativa).
La forma segura de manejar los inicios de sesión es SHA256 el nombre de usuario, enviar ese valor hash al servidor, que responde con el valor de sal correspondiente para ese usuario. Ese valor hash se usa junto con la contraseña para generar el PBKDF2. Solo se envía el PBKDF2 (como el formulario de datos / datos POST) al servidor. Con esta configuración, el servidor receptor no maneja su contraseña (y su nombre de usuario para seguridad adicional) en texto claro. Esto puede ser algo menor, pero hay muchos registros que se ejecutan en segundo plano, a veces no están encriptados / protegidos, que revelarán su contraseña sin darse cuenta.
Además, el servidor debe usar bcrypt, etc. para encriptar los SHA256 y PBKDF2 recibidos con su propia contraseña para otra capa de seguridad (para datos en reposo, etc.).
- ¿Qué es la seguridad en línea?
- ¿Alguien puede explicar cómo se pueden usar los lenguajes de programación para descifrar software o piratear un servidor?
- ¿Es seguro el wifi doméstico con una contraseña?
- ¿Cuál es la mejor contraseña del mundo?
- ¿Dónde puedes aprender a detectar scripts de malware?
Si realmente quiere ir un paso más allá, puede “etiquetar” su computadora con un valor único que se envía junto con sus datos de inicio de sesión. Si la etiqueta no está presente (inicio de sesión desde una computadora nueva) o incorrecta (computadora compartida), el servidor activa un proceso de autenticación de dos factores que envía un mensaje de texto o correo electrónico para que ingrese otro código para identificarlo claramente.
Bueno, así es como lo hacemos de todos modos …
