¿Es seguro establecer el valor predeterminado para el campo de contraseña?

2

Estoy viendo una aplicación donde los administradores pueden "invitar" a los usuarios por correo electrónico e invitados. A los usuarios invitados se les envía una URL única y se insertan en una base de datos MySQL con estado pendiente y un token de activación.

Sin embargo, la aplicación tiene un error actualmente, donde la base de datos se configuró con el campo de contraseña NO NULL, y sin un valor predeterminado, lo que hace que INSERT falle.

Si modifico la estructura de mi tabla y configuro un valor predeterminado para la contraseña (usando un valor cifrado arbitrario), los administradores pueden agregar nuevos usuarios y se les solicitará a estos usuarios que establezcan una contraseña antes del primer inicio de sesión.

Mi pregunta es: ¿hay algún riesgo de seguridad aquí que deba tener en cuenta?

Copiado: ¿Es seguro establecer el valor predeterminado para el campo de contraseña? ? - DBA StackExchage

    
pregunta Foreever 14.07.2015 - 17:38
fuente

1 respuesta

2

Si su función de hash es lo suficientemente segura, esto no debería ser un problema, incluso si un atacante conoce su valor predeterminado, no puede encontrar un hashing de contraseña en su valor predeterminado en un tiempo razonable.

Cualquier cosa que no sea el resultado de tu función de hashing es un buen valor predeterminado (aún creo que debes usar un valor aleatorio y no el nombre de tu primera mascota, pero ambos están bien).

    
respondido por el grandchamp robin 15.07.2015 - 10:34
fuente

Lea otras preguntas en las etiquetas