¿Alternativa al almacenamiento de contraseñas cuando se trata de integraciones que solo permiten la autenticación de nombre de usuario / contraseña? [duplicar]

Navega tus respuestas
1

Estoy trabajando en una integración con un servicio externo que requiere autenticación por usuario, como Facebook, por ejemplo, pero a diferencia de Facebook solo permite el nombre de usuario y la contraseña para esta autenticación. Mi experiencia básica en seguridad es incómoda al pensar que esto significa que realmente necesito recopilar las credenciales de inicio de sesión del usuario para el servicio externo y almacenarlas sin daños.

¿Existe una solución estándar para el problema de necesitar contraseñas de usuario de texto sin formato disponibles?

    
pregunta TheEnvironmentalist 07.03.2017 - 13:04
fuente

1 respuesta

1

Debe almacenar las contraseñas cifradas con un algoritmo de cifrado simétrico moderno. Se recomienda AES con una clave de 256 bits. Asegúrese de utilizar una implementación bien conocida y verificada de AES. La clave debe almacenarse de forma segura, ya que se utiliza para cifrar y descifrar las contraseñas almacenadas.

Además, si el servicio al que te estás autentificando requiere que envíes contraseñas de texto simple a través de una red, asegúrate de estar usando un protocolo seguro TLS (por ejemplo, HTTPS).

Si el servicio no admite conexiones TLS, todas las apuestas están desactivadas y deberías considerar seriamente qué tan útil es este servicio (imagina todas las otras cosas que están haciendo de manera insegura. ¿Pagas por este servicio? Me pregunto ¿Cómo almacenan su información de facturación?).

    
respondido por el Dan 07.03.2017 - 15:29
fuente

Lea otras preguntas en las etiquetas

Rutas comodín con semanage fcontext ¿El cambio de clave SSH tiene lugar en el túnel encriptado o fuera de él?