Seguridad al iniciar sesión cuáles son las mejores prácticas [duplicar]

Navega tus respuestas
1

En todos los lugares que he visto inicio de sesión y cómo tratarlos, o los tutoriales me están mostrando en comparación con el texto sin formato.

Sé que nunca almacenar una contraseña de texto sin formato en la base de datos.
Solo pregunto si hay algún material que pueda leer o ver que tenga una forma generalizada de almacenar contraseñas a nivel semicomercial.

Lo pregunto debido a que he creado una aplicación y deseo tener buenas prácticas de seguridad desde el principio, para seguir mejorándolas en mi vida de TI.
Cosas que estoy asumiendo

  1. Cifre la contraseña y guárdela
  2. Al iniciar sesión, codifique la contraseña y compare las dos.

Solo quiero ampliar mi conocimiento para un sistema de inicio de sesión de nivel más comercial, en lugar de aprender acerca de los inicios de sesión de texto sin formato. Cualquier fuente sería muy apreciada.

    
pregunta Vaughan D 23.03.2017 - 01:38
fuente

1 respuesta

1

Esta es una muy buena lectura: enlace

En general, normalmente querrá almacenar sus contraseñas como un "hash salado". Luego acepta su contraseña, ejecútela a través de su función hash (yo uso bcrypt) y compare las dos.

Otro detalle que debe tener en cuenta es que algunas personas no piensan en los mensajes que está devolviendo a sus usuarios. Por ejemplo: si alguien envía las credenciales {usuario1, mypassword} y cualquiera de esas credenciales es incorrecta, debe devolver "combinación de usuario / contraseña no válida" en lugar de enviar un mensaje específico como "contraseña incorrecta", lo que revela que están intentando hacerlo. una cuenta existente. Nunca des más información de la necesaria.

Esta pregunta también será útil: ¿Cómo hash seguro las contraseñas?

    
respondido por el nd510 23.03.2017 - 01:51
fuente

Lea otras preguntas en las etiquetas

La cadena de certificados varía según la red que use para acceder a una aplicación ¿Puede el almacenamiento de un secreto en el cliente considerarse seguridad "suficientemente buena"?