¿Cómo protegería un archivo de contraseña en un sitio web? Es hash las contraseñas individuales no es suficiente? ¿Qué otros pasos debo seguir?
Como Steve y Avi han preguntado, usted se refiere a las contraseñas para los usuarios de un sitio web / aplicación web o contraseñas para el sistema. Protección típica para las dos opciones:
Contraseñas para la aplicación web / sitio web:
Almacenado en una base de datos que está separada de la web DMZ por un servidor de seguridad, no en el servidor web (que está en la web DMZ). El control de acceso está tanto en el servidor de seguridad como en el cifrado de la base de datos o el hashing de las contraseñas en la base de datos
Contraseñas del sistema:
Las contraseñas escritas en / etc / passwd o / etc / shadow o archivo SAM o equivalente, y el archivo de contraseña tiene controles de acceso que limitan el acceso a las cuentas del sistema o de la raíz.
Hay otras opciones, pero estas son, con mucho, las más comunes.
Lea otras preguntas en las etiquetas password-management cryptography