¿Las contraseñas de administrador deben estar en una base de datos diferente a las contraseñas normales?

Navega tus respuestas
2

Estaba intentando descubrir las mejores prácticas para almacenar las contraseñas de los usuarios del administrador y encontré una sugerencia de desbordamiento de pila para " use páginas de inicio de sesión separadas para los usuarios y admin usando la misma tabla DB (para detener XSRF y el robo de sesiones, otorgando acceso a las áreas de administración ") . Hasta este momento planeaba usar 2 tablas separadas (AdminUser / User) en mi base de datos de contraseñas (con entradas de sal / hash) que se autentican en diferentes subdominios. ¿Hay alguna razón por la que usaría la misma tabla para ambos conjuntos de hashes?

    
pregunta Mendoza 23.10.2017 - 20:02
fuente

1 respuesta

2
  

¿Hay alguna razón por la que usaría la misma tabla para ambos conjuntos de hashes?

En realidad no. Puedes usar una tabla separada si quieres. Desde una perspectiva de desarrollo, podría ser un poco más fácil usar una sola tabla (ya que puede reutilizar cualquier procedimiento almacenado), pero desde una perspectiva de seguridad no aumenta ni disminuye su superficie de ataque de ninguna manera significativa. No hay daño con ninguna de las decisiones.

Solo asegúrate de que solo estás almacenando el hash y el salt de la contraseña, y que generes un nuevo salt cada vez.

    
respondido por el John Wu 23.10.2017 - 20:27
fuente

Lea otras preguntas en las etiquetas

¿Por qué el TLS para correo electrónico no se inserta agresivamente en los usuarios como HTTPS? [cerrado] Formas de impresionar a los niños sobre las violaciones y preocupaciones de la privacidad en la web