¿Mejoraría la seguridad las contraseñas de silo en su propio esquema bloqueado?

4

En primer lugar, no sé cómo los piratas informáticos consiguen una tabla de contraseñas completa y las roban. No sé si los dueños del sitio web son los culpables o qué, pero me pregunto si implica iniciar sesión en la base de datos o no.

Suponiendo que los piratas informáticos roban contraseñas iniciando sesión en la base de datos con usuarios de la aplicación o administradores, ¿qué hay de colocar contraseñas en su propio esquema con privilegios herméticos?

PASS.Passwords que tienen la contraseña con hash y la clave de usuario / primaria de UserId para la tabla de usuarios.

Los únicos permisos que cualquier usuario de base de datos tiene para PASAR el esquema serían los procedimientos de ejecución. Ni siquiera los administradores de DB habrían leído privs.

Authenticate by executing IsAuthenticated(@UserId, @HashedPassword) returns bit.

Create password by executing Create(@UserId, @HashedPassword) returns bit.

Update password by executing Update(@UserId, @OldHashedPassword, @NewHashedPassword) returns bit.

Y eso es todo lo que obtienes. Ningún usuario con permisos para leer incluso la contraseña con hash, ¿los hackers podrían robar la tabla incluso si comprometen el medio ambiente?

    
pregunta Andrew Hoffman 18.12.2013 - 17:12
fuente

1 respuesta

4

La mayoría de los grandes volcados de contraseñas se realizan con inyección de SQL . Aislar su base de datos de autenticación del resto del programa es una estrategia de defensa en profundidad porque está planeando en el hecho de que un desarrollador puede presentar una vulnerabilidad de Inyección de SQL. La gran mayoría de las bases de datos SQL no permiten el apilamiento de consultas, y debería ser difícil obtener una ejecución de código remota arbitraria utilizando la inyección SQL. El volcado de la contraseña administrativa u otras credenciales de autenticación mediante la Inyección SQL (sqlmap rocks) es un patrón de ataque muy común en la naturaleza.

OAuth es un enfoque aún mejor . Google y Facebook son proveedores populares de OAuth; No solo tienen más usuarios sino más recursos para dedicar a la seguridad. Un sistema es más seguro cuando las amenazas de seguridad se evitan por completo.

    
respondido por el rook 18.12.2013 - 19:15
fuente

Lea otras preguntas en las etiquetas