¿Hashing contraseñas de usuario a través de Javascript del lado del cliente frente al hashing del lado del servidor? [duplicar]

Navega tus respuestas
2

Entré en una discusión con uno de nuestros desarrolladores senior sobre las mejores prácticas de hashing / transmisión de contraseñas y me dejó con curiosidad sobre cuál es la mejor práctica estándar de la industria.

En la revisión anterior / actual de nuestro servicio web, transmitimos las contraseñas de texto simple de los usuarios con SSL al servidor y las procesamos en el lado del servidor a través de SHA-256 antes de insertarlos en la base de datos. Sin embargo, una auditoría de seguridad realizada por una empresa de terceros declaró que esto era inseguro y no es una buena práctica.

Por lo tanto, para nuestra futura versión, hemos pasado a utilizar cryptojs para hash de contraseñas (sin sal) del lado del cliente, y estos valores se almacenan directamente en la base de datos sin ninguna manipulación adicional.

El consenso general es que, en caso de una violación de seguridad interna, NUNCA manejamos la contraseña de texto simple de un usuario, y preferiríamos que alguien omita nuestras implementaciones de seguridad y tenga una contraseña con hash en lugar de la contraseña de texto simple del usuario.

Tengo curiosidad por saber si esto es adecuado o si deberíamos realizar un servidor de hash con sal secundario para protegernos aún más.

    
pregunta JD Davis 23.09.2015 - 15:11
fuente

1 respuesta

5

La "mejor práctica" es, en primer lugar, dejar de usar el término "cifrado" porque SHA-256 no es cifrado . Esto se llama hashing . Si sus desarrolladores senior y los auditores externos hablan de SHA-256 como "cifrado", pueden estar seguros de que ninguno de ellos sabe realmente de lo que están hablando.

En su sistema, lo que sea que el cliente envíe, ya sea "cifrado" (con hash) o no en el cliente, es un valor que otorga acceso; ese valor es, por lo tanto, contraseña equivalente y revelarlo es tan mortal para la seguridad de su servidor como la contraseña de texto simple. Ese tipo de hashing del lado del cliente no trae la mejora de seguridad que sus auditores parecen creer que haga. Lo que complica la situación es el hecho de que cuando el cliente realiza un hash con código Javascript, ese código Javascript fue enviado por el mismo servidor , por lo que un servidor comprometido podría enviar perfectamente un Javascript que simplemente reciba la contraseña del usuario como lo escribe y envía esa contraseña a un servidor en Mongolia.

En cualquier caso, las mentes humanas son lo que son, las contraseñas recordadas por el usuario son débiles contra la fuerza bruta (llamadas "ataques de diccionario"). Una simple invocación de una función hash criptográfica como SHA-256, independientemente de la seguridad criptográfica de esa función, es demasiado rápida para brindar mucha protección aquí; una PC de escritorio lista para usar puede contener contraseñas potenciales a tasas calculadas en miles de millones por segundo. El buen hashing de la contraseña requiere funciones dedicadas con un costo computacional configurable (pero inherentemente alto). No podrá hacerlo correctamente en Javascript porque Javascript es débil para las tareas de computación intensivas.

La mejor práctica es usar SSL (siempre), transmitir la contraseña tal como está en el túnel SSL y dejar que el servidor aplique una función de hashing de contraseña adecuada, es decir, bcrypt (con un número de iteraciones lo suficientemente alto, tan alto como se puede tolerar dado el hardware disponible y la carga máxima esperada).

Ocasionalmente, uno se encuentra con auditores que necesitan algo que decir, y es posible que tenga que realizar algunos bailes rituales para apaciguarlos. Una de esas danzas es la criptografía por aspersión en varios lugares, como la torta de hielo. Esto es idiota pero inofensivo, siempre y cuando no elimine las partes importantes. En su caso, puede hacer hash SHA-256 en el lado del cliente, pero no debe eliminar el hashing de contraseña correcto en el lado del servidor, es decir, considerar el resultado del hash calculado por el cliente como la "contraseña" y usarlo como entrada a bcrypt. (Tenga en cuenta que las salidas de hash son binarias , no de texto, por lo que se necesita algo de codificación, por ejemplo, hexadecimal o Base64 .)

El SHA-256 adicional sería entonces inútil, pero no debilitará tu sistema, al contrario de lo que pretendes hacer:

  

Por lo tanto, para nuestra futura versión, hemos pasado a utilizar cryptojs para cifrar las contraseñas (sin sal) del lado del cliente, y estos valores se almacenan directamente en la base de datos sin más manipulación.

Si lo hace, entonces el contenido de la base de datos se puede usar para otorgar acceso inmediato al servidor. Un simple vistazo de solo lectura a la base de datos (por ejemplo, un disco duro roto descartado, una cinta de copia de seguridad perdida, un ataque de inyección de SQL ...), y su seguridad se ha ido por el desagüe.

    
respondido por el Tom Leek 23.09.2015 - 15:37
fuente

Lea otras preguntas en las etiquetas

¿Hay algún mecanismo disponible en la plataforma Android para la certificación remota? ¿Cómo garantizar que la publicación de datos en los servicios esté a salvo de la manipulación del usuario en los juegos de WebGL?