¿Cifrado que el propio proveedor de servicios no puede descifrar?

1

Recientemente vi el siguiente mensaje literalmente en una aplicación en línea que uso. El inicio de sesión es simplemente una combinación de inicio de sesión / contraseña. No hay una verdad, no hay autenticación de dos factores, etc ...

Esto me parece una tontería, pero no soy un experto en seguridad, por eso lo publico aquí. ¿Es esto posiblemente cierto? Si es así, ¿cómo se haría para asegurar su sitio de esta manera?

  

Para acceder a nuestra área segura, debe ingresar su ID de inicio de sesión y su Código de seguridad. Como medida de seguridad, almacenamos su Código de Seguridad en nuestra base de datos en un formato cifrado que ni siquiera podemos descifrar.

    
pregunta bigtunacan 12.11.2015 - 05:26
fuente

1 respuesta

3

Hay varias formas posibles para que esto funcione, pero lo principal es que almacenen su contraseña como un hash de una sola vía. Esto evita que incluso ellos inviertan el hash para obtener su contraseña, y su contraseña es la clave para el descifrado.

Durante el inicio de sesión, la contraseña que ingresa se utiliza con el mismo algoritmo y se compara con el hash almacenado. Si coinciden, debe haber ingresado la contraseña correcta. Por lo tanto, el servidor puede autenticarse sin necesidad de conocer su contraseña real.

Por supuesto, el éxito práctico de esto depende del algoritmo de hash utilizado y de la longitud / complejidad de su contraseña.

Suponiendo que tiene una buena contraseña y que han usado un algoritmo de hash fuerte, preferiblemente usando múltiples iteraciones y sal (una parte aleatoria de los datos agregados a la contraseña antes del hashing para garantizar que no haya dos personas que usen la misma contraseña) mismo hash), entonces nadie podrá descifrar su contraseña y, por lo tanto, descifrar sus datos.

    
respondido por el Hearth 12.11.2015 - 05:31
fuente

Lea otras preguntas en las etiquetas