Corregir la terminología al describir la seguridad de la contraseña para el lego

Navega tus respuestas
18

Estoy escribiendo una página para nuestro sitio web que describe las medidas que tomamos para mantener segura la información de nuestros clientes. En esta página, una sección describe cómo mantenemos seguras sus contraseñas.

Estamos usando Secure Password Storage v2.0 , que es una implementación de PBKDF2. Estamos utilizando el algoritmo hash SHA256, 64000 iteraciones y 24 bytes para nuestra sal aleatoria. No estoy realmente seguro de que esto importe tanto, aparte de que simplemente no quiero que la gente venga con las horcas elevadas pensando que estamos cifrando las contraseñas.

¿Es correcto decir "Las contraseñas que almacenamos no se pueden descifrar"? Me preocupa que esto implique que las contraseñas nunca se puedan descifrar, lo que simplemente no es cierto. Sin embargo, quiero enfatizar a nuestros usuarios que nuestro sistema para almacenar contraseñas es lo suficientemente seguro como para que nunca tengan que preocuparse por ello (siempre que elijan una contraseña suficientemente única, por supuesto), incluso en el caso de Toda la base de datos de contraseñas está siendo robada.

Otras opciones que he considerado son "El método utilizado para almacenar contraseñas no se puede revertir" o "En el caso de una infracción, su contraseña no debe ser recuperable", pero creo que no se pueden descifrar para que sea más comprensible. y al punto, especialmente porque algunas personas ni siquiera se dan cuenta de que las contraseñas no se almacenan en texto sin formato.

    
pregunta Jaci 31.05.2016 - 20:10
fuente

6 respuestas

34

"Creemos que el secreto de sus contraseñas es muy importante, por eso hemos implementado medidas que las protegen fuertemente mientras están almacenadas en nuestros servidores. Una vez que envíe su contraseña, la convertimos utilizando una función criptográfica (PBKDF2-SHA256 con sal). 64,000 iteraciones para los expertos en tecnología), por lo que incluso si los atacantes pueden violar nuestro sitio, no aprenderán su contraseña inmediatamente.

Este método de almacenamiento de contraseñas hace que sea más difícil para los usuarios malintencionados descifrar su contraseña. La elección de una buena y buena contraseña / contraseña combinada con esta tecnología puede ayudar a evitar el acceso no autorizado a su cuenta. Incluso nuestros empleados no sabrán su contraseña original ".

Similar a la sugerencia de Adam, simplemente se expande para cubrir más de sus preocupaciones.

    
respondido por el PwdRsch 31.05.2016 - 21:39
fuente
7

Los componentes técnicos son difíciles de comunicar. Comprender la respuesta más allá de "Estamos haciendo lo correcto" requiere mucho conocimiento. Entonces, ¿por qué no decir ambos, algo como:

"Protegemos su contraseña con una tecnología muy sólida. (Para los geeks, actualmente son 64K iteraciones de SHA2 / PBKDF2)"

    
respondido por el Adam Shostack 31.05.2016 - 20:52
fuente
2
  

¿Es correcto decir "Las contraseñas que almacenamos no se pueden descifrar"? Me preocupa que esto implique que las contraseñas nunca se puedan descifrar, lo que simplemente no es cierto.

Es algo correcto, aunque la presencia de "descifrado" en esa oración puede llevar a las personas a saltar a la conclusión incorrecta.

Puede explicarse mejor diciendo que las contraseñas se someten a un "proceso de hashing criptográfico unidireccional", que no se puede revertir para encontrar la contraseña original, ni siquiera por el administrador del sistema.

Si la única forma de obtener la contraseña es descifrar la fuerza bruta, entonces creo que es justo decir que "el proceso no se puede revertir". Si desea abordar el cracking de fuerza bruta, podría seguir mencionando que "la única forma de que un atacante obtenga la contraseña original sería adivinarla correctamente, lo que puede llevar más tiempo que una vida humana", asumiendo que la contraseña es elegido de forma segura.

  

Otras opciones que he considerado son "El método utilizado para almacenar contraseñas no se puede revertir"

Sí, creo que es justo decir eso.

  

"En el caso de una infracción, su contraseña no debe ser recuperable"

Esto no es tan conciso en mi opinión. En primer lugar, "no debería" es vago, y en realidad se puede recuperar a través del craqueo de fuerza bruta, que no se aborda suficientemente en esta frase.

En mi mente hay una distinción sutil entre "invertir el algoritmo", que no puede hacer la fuerza bruta , y "recuperar la contraseña", que no puede suponer tiempo suficiente.

  

pero me parece que no se pueden descifrar para que sean más comprensibles y al punto,

Sí, definitivamente.

En cuanto a la explicación del texto:

  

Estamos utilizando Secure Password Storage v2.0, que es una implementación de PBKDF2. Estamos utilizando el algoritmo hash SHA256, 64000 iteraciones y 24 bytes para nuestra sal aleatoria.

Es bueno incluir esto para el beneficio de aquellos que entienden los detalles técnicos, asumiendo que también se incluye una de las explicaciones más laicas discutidas anteriormente.

    
respondido por el thomasrutter 01.06.2016 - 07:47
fuente
1

¿Qué tal esto?

"Nuestro uso de técnicas de seguridad comprobadas en la industria garantiza que su contraseña no puede ser robada de nuestro equipo".

Editar: la redacción debe cambiarse según los comentarios, ya que la garantía (o como se llame) está sujeta a que el usuario final obtenga las contraseñas suficientemente impredecibles . (que no es confiable)

Quizás con un enlace "¿Cómo es esto posible?"

"Usando una técnica conocida como Hashing SHA256 Repetitivo, solo se almacena un Checksum de su contraseña. De esta manera podemos comprobar si la Contraseña coincide, pero la contraseña original no se puede recuperar ni descifrar. Esto es lo mismo técnica utilizada en aplicaciones a gran escala como el correo electrónico y la banca en línea ".

No soy un experto en comunicaciones, pero espero que la primera cita le dé información a los laicos, y luego, si alguien comienza a preguntarte, ellos harán clic en el enlace. Si entienden la palabra suma de comprobación, entonces tal vez puedan entender sin ninguna investigación adicional.

    
respondido por el George Bailey 31.05.2016 - 20:44
fuente
1

Seguimos las mejores prácticas de la industria para la verificación de contraseñas. Por ejemplo:

  1. No registramos las contraseñas de nuestros usuarios. En cambio, grabamos resúmenes codificados que nos permiten reconocer su contraseña, pero no más. No sabemos cuál es su contraseña, ¡pero la reconocemos cuando la vemos!
  2. Calculamos el resumen mediante el uso de algoritmos criptográficos de extensión de contraseña que aleatorizan los resúmenes y usamos cálculos deliberadamente lentos . Ambos factores hacen que a los piratas informáticos les resulte costoso adivinar las contraseñas en masa.

Sin embargo, tenga en cuenta que nuestras medidas no pueden proteger contra todos los riesgos, y usted es la primera línea de defensa . En particular, los siguientes son factores muy importantes que están bajo su control, no los nuestros:

  • No elija una contraseña que sea fácil de adivinar. Si alguien adivina correctamente que su contraseña es el nombre de su cónyuge y su aniversario de boda, no hay nada que podamos hacer al respecto. [enlace a un buen conjunto de directrices de contraseña]
  • No use la misma contraseña en más de un sitio. Si uno de los sitios pierde su contraseña, los piratas informáticos pueden iniciar sesión en sus cuentas en los demás. Para evitar tener que memorizar o escribir muchas contraseñas diferentes, le recomendamos que utilice un programa de almacenamiento seguro de contraseñas. [enlace a algunos de estos programas]
  • Nunca le pediremos su contraseña por teléfono o por correo electrónico. Tenga en cuenta que una estrategia común entre los delincuentes es simular ser nosotros y engañarlos para que les diga su contraseña. Por lo tanto, si recibe una llamada o un correo electrónico de este tipo, no haga lo que le piden.
  • Si recibe un correo electrónico que parece ser nuestro, solicitándole que inicie sesión en nuestro sitio con urgencia, no haga clic en los enlaces que se proporcionan en el correo electrónico. En su lugar, ingrese el nombre de nuestra compañía en un motor de búsqueda como Google y siga el resultado desde allí. [enlaces a recursos anti-phishing]
respondido por el Luis Casillas 07.06.2016 - 04:09
fuente
0

Podrías hacer un servicio público y explicar lo que estás haciendo.

Cosas como defensa en profundidad - múltiples niveles de defensa. Primer nivel haciendo que tus servidores sean ilegibles. Segundo nivel que no almacena contraseñas de texto plano. Tercer nivel que no almacena contraseñas encriptadas. Cuarto nivel de salazón. Quinto nivel que utiliza un algoritmo lento (64,000) pases.

    
respondido por el gnasher729 31.05.2016 - 21:42
fuente

Lea otras preguntas en las etiquetas

Si un sitio web permite que otra persona obtenga una lista de las contraseñas de los usuarios del sitio, ¿qué tan probable es que las contraseñas se almacenen en texto simple? ¿Por qué un sitio web ofrecería versiones diferentes de un archivo a través de HTTP y HTTPS?