Servidor de verificación de contraseña

Navega tus respuestas
1

He publicado una pregunta aquí ...

¿Protegiendo los Hash de contraseñas con los procedimientos de la tienda?

... donde pregunté acerca de negar el acceso CRUD de un usuario de la base de datos de un sitio web a las tablas que almacenan los hashes de contraseña, excepto a través de procedimientos almacenados que solo verifican la igualdad y no devuelven los hashes. Esto parece hacer que sea imposible volcar los hashes mediante la inyección de SQL.

El usuario que publicó la respuesta que acepté, sin embargo, mencionó un "servidor de verificación de contraseña dedicado". Intenté encontrar más información sobre esto pero no pude ...

¿Cuáles son algunas soluciones dedicadas de servidor de verificación de contraseña para ASP.NET y qué compañías las usan? ¿Alguien puede indicarme alguna información sobre cómo funcionan?

    
pregunta John 15.05.2013 - 16:55
fuente

1 respuesta

1

Probablemente esté haciendo referencia a un Hardware Security Module (HSM) , que es un dispositivo de hardware dedicado de un solo propósito diseñado para almacenar Secretos de una manera que protege los datos, incluso si un atacante tiene acceso físico sin restricciones al dispositivo.

La idea de estos dispositivos es que usted pasa los datos, los cifra o los elimina, luego los almacena en un dispositivo de almacenamiento seguro. Cuando quiere verificar un valor, le pasa los datos y éste realiza las comprobaciones por usted. De esa manera, no revela los datos en absoluto, solo comprueba la contraseña por usted.

    
respondido por el Polynomial 15.05.2013 - 17:20
fuente

Lea otras preguntas en las etiquetas

Almacenamiento de contraseña en los scripts de contenido de Google Chrome ¿Qué fabricantes crean tarjetas OATH HOTP ahora que InCard Technologies ya no está en el negocio?