El problema : algunos entornos necesitan usar credenciales de texto sin formato o tokens de larga duración para desbloquear una funcionalidad específica. Los ejemplos incluyen
- servicios heredados de terceros que necesitan un inicio de sesión / contraseña para la autenticación (no admiten oAuth, OpenID, tokens a corto plazo o soluciones similares y no pueden adaptarse)
- desbloqueo de una bóveda encriptada que requiere la introducción de una contraseña al inicio de la aplicación
Hay una manera de activar estos servicios mediante programación, pero esto requiere presentar credenciales de texto sin formato.
¿Cuál es la posición de consenso actual sobre las soluciones para el almacenamiento de dichas credenciales?
Una solución es cifrarlos, con formas más o menos elaboradas de desconectar la clave de cifrado del código. No quiero que los equipos a cargo de esta parte del proyecto inventen su propia solución ya que es probable que sea débil. Apreciaría cualquier puntero si hay algo tangible sobre ese tema (no me gustó nada, OWASP ni siquiera intente sugerir que esto es aceptable, lo cual es comprensible pero no muy útil).
También vi que se recomiendan HSM pero no entiendo cómo facilitan la recuperación de la clave / credenciales (Entiendo su valor como almacenes de datos seguros).