¿Qué tan fuerte debe ser una contraseña de base de datos?

Question

¿Qué tan fuerte debe ser una contraseña de base de datos?

#1 de Anders (1 votos)
#2 de Anti-weakpasswords (1 votos)
#3 de William Sandin (0 votos)

1

Parece una pregunta trivial, pero no pude encontrar otras preguntas que aborden lo siguiente.

Así que simplemente pregunto, ¿qué tan sólidas serían mis credenciales de base de datos (superusuario) idealmente ? Simplemente me di cuenta de que, dado que todas mis conexiones se realizan a través de los archivos de script de mi servidor de aplicaciones, ¿por qué no debería generar una cadena de 40 letras al azar y usarla como código en mis archivos de script como contraseña? El único inconveniente es que si se pierde de alguna manera, no tendré acceso a mi db. Sin embargo, es una opción y como nunca he visto a nadie más mencionarlo, ¿cuál es su opinión al respecto? Y si no es una decisión acertada, ¿qué tan fuerte debe ser mi contraseña de db?

Y si utilizo 3 servidores de bases de datos, donde 2 de ellos son simplemente copias de seguridad, ¿recordaría las credenciales de todos ellos, como práctica recomendada? Usar la misma contraseña parece peligroso si mi preocupación son los hackers. ¿Cómo se las arreglan las grandes empresas?

passwords tls databases postgresql

pregunta sermonion x 17.12.2017 - 01:17

fuente

3 respuestas

Lea otras preguntas en las etiquetas passwords tls databases postgresql

¿Cómo verifica mi identidad una llamada telefónica / mensaje SMS? ¿Cómo verificar si SSH Client no está grabando mi información de inicio de sesión?

score 1 · Answer 1

Así que simplemente estoy preguntando, ¿qué tan fuertes serían idealmente mis credenciales de base de datos (superusuario)?

Lo más fuerte posible. Utilice contraseñas aleatorias tanto tiempo como con tantos caracteres diferentes como la base de datos le permita. No trates de recordarlos. Si elige contraseñas que pueda recordar fácilmente, probablemente sean débiles.

... ¿lo uso como código en mis archivos de script como contraseña?

La gran pregunta es dónde y cómo almacenar las contraseñas a las que tu script necesita acceso. Ponerlos en sus archivos de script no es la mejor solución. Consulte esta pregunta para una discusión más larga.

Usar la misma contraseña parece peligroso si mi preocupación son los piratas informáticos.

Usando diferentes contraseñas es mejor en general. Dado que ya hemos establecido que no podrá memorizarlos de todos modos, la carga adicional no es tan grande.

score 1 · Answer 2

Así que simplemente estoy preguntando, ¿qué tan fuertes serían idealmente mis credenciales de base de datos (superusuario)?

Fuerza máxima. Sobre la base de esta respuesta , se obtiene una contraseña criptográficamente aleatoria de 100 longitudes con números superior, inferior, números, símbolos que se ajustan a eso.

Guárdelo en KeePass o similar.

¿por qué no debería generar una cadena de 40 letras al azar y usarla como código en mis archivos de script como contraseña?

Whoa, there, Tex. NO DEBES estar usando esa cuenta de superusuario para CUALQUIER script; PRIMERO debe crear diferentes cuentas de usuario para ellos, con permisos mínimos, y las contraseñas numéricas de 40 caracteres superior, inferior y criptográficamente aleatorias son bastante buenas (omitir símbolos, eliminar el tamaño del conjunto de caracteres y 40+ es bueno)

Luego, si puede, guárdelos encriptados: openssl puede usarse en scripts para descifrar sobre la marcha, incluso si no tiene nada más.

El único inconveniente es que si se pierde de alguna manera, no tendré acceso a mi db.

Falso. Uno, esa contraseña de superusuario es para emergencias; también tiene su propia cuenta (para la capacidad de auditoría. Dos, sus scripts usan sus propios nombres de usuarios con menos permisos; todavía se ejecutan. Tres, con acceso físico a la máquina, siempre puede recuperar y / o restablecer la contraseña de superusuario; algunos trabajos.

Cuatro, está en tu KeePass . ¿Recuerdas?

Y si utilizo 3 servidores de bases de datos, donde 2 de ellos son simplemente copias de seguridad, ¿recordaría las credenciales de todos ellos, como práctica recomendada? Usar la misma contraseña parece peligroso si mi preocupación son los hackers. ¿Cómo se las arreglan las grandes empresas?

Recuerda su muy fuerte credencial personal para ingresar a su KeePass , y luego copie / pegue (o use la característica de autotipo impresionante) la única , por nombre de usuario * contraseña del servidor según sea necesario.

¿Grandes organizaciones altamente seguras? Utilizan un módulo de seguridad de hardware (HSM). Rompa su chequera.

score 0 · Answer 3

Así que simplemente pregunto, ¿qué tan fuertes serían idealmente mis credenciales de base de datos (superusuario)?

En este contexto, me parece más relevante en la forma en que administras tus contraseñas y secretos. Idealmente, debería establecer una frase de contraseña tan fuerte (y única) como sea posible. Dicho esto, puede alcanzar un alto nivel de entropía simplemente concatinando palabras.

... ¿lo uso como código en mis archivos de script como contraseña?

Esa es una solución viable si se asegura de que haya cuentas únicas (no de superusuario) para sus scripts individuales, con el principio de privilegio mínimo. No debe otorgar más privilegios de los necesarios para que sus scripts se ejecuten sin restricciones de permisos.

Lo que es realmente importante aquí es garantizar que estén protegidos adecuadamente si se almacenan en un repositorio, por ejemplo. Me gustaría ver blackbox de StackExchange, o vault de Hashicorp.

Utilizar la misma contraseña parece peligroso si mi preocupación son los piratas informáticos.

If puede implementar la autenticación de 2 factores para su superusuario, cualquier otra cuenta destinada al acceso manual no es una preocupación. Esto mitigaría muchos, si no todos los vectores de ataque que le preocupan. No he hecho esto por mí mismo para PostgreSQL en particular, pero hay algunos comentarios en línea.

Consulte "Contraseñas de un solo uso con Google Authenticator PAM (y amigos)" .