¿Necesito una seguridad de contraseña alta si también necesito un Certificado de Cliente para validación?

Question

¿Necesito una seguridad de contraseña alta si también necesito un Certificado de Cliente para validación?

#1 de Gilles (2 votos)

1

Debido a una discusión en curso en mi oficina, me preguntaba si alguien tenía algún comentario sobre si la seguridad de hashing de contraseñas debe ser muy sólida si la validación del certificado de cliente también es necesaria para la verificación de la cuenta.

Usamos el hashing SHA-512 con un salt aleatorio para el almacenamiento de contraseñas. Se ha sugerido que no necesitamos iterar la función hash ya que requerimos AMBAS contraseñas y un certificado de cliente para la validación del usuario.

¿La seguridad de nuestra cuenta es significativamente menor si reducimos el número de iteraciones de hash teniendo en cuenta que también requerimos la validación del certificado de cliente?

Ya que en algunos casos permitimos la validación solo con certificado, y en ALGUNOS casos (es decir, en máquinas de desarrolladores) permitimos la validación solo con contraseña, estoy tentado de sugerir que permitamos un número bajo de iteraciones (o no más) iteraciones) del método de hash para usuarios que requieren validación de certificado de cliente, pero requieren un número normal de iteraciones de hash para usuarios que no lo hacen. ¿Eso tiene sentido?

passwords certificates account-security password-cracking

pregunta Joe 17.08.2017 - 00:01

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords certificates account-security password-cracking

UserDataSvc_6038b: no se puede desactivar este servicio sospechoso Tengo acceso continuo a mi cuenta de Facebook desde una dirección IP / iPad en particular. ¿Cómo lo detengo?

score 2 · Answer 1

Necesitas un hash de contraseña adecuado (lento y con sal, iteración Es una forma de hacerlo lento). No importa que el usuario tenga un segundo factor de autenticación, como un certificado. Hashear la contraseña no protege contra la misma amenaza.

El uso de un segundo factor de autenticación protege contra la posibilidad de que alguien adivine la contraseña del usuario en su sitio u obtenga la contraseña mediante la indagación en la comunicación, la navegación por los hombros, con un registrador de teclas, etc. Para ese propósito, la forma en que su servidor almacena la contraseña es irrelevante.

Un hash de contraseña adecuado protege la contraseña contra un atacante que obtiene acceso a la base de datos de contraseñas en su servidor (o una copia de seguridad). El activo protegido es el valor de la contraseña, que el usuario puede haber usado en otros sitios. Para ese propósito, la forma en que el usuario se autentica en su sitio es irrelevante. Su servidor podría incluso almacenar un hash de contraseña que no utiliza para autenticar al usuario (por ejemplo, si está ejecutando un servicio de autenticación de proxy), y aún tendría que almacenar la contraseña de forma segura.