Almacenar contraseña para usar más tarde

0

Tengo un sistema de implementación con una interfaz de usuario accesible a través de Internet. Quiero hacerlo más seguro volviendo a pasar la contraseña periódicamente sobre la API. ¿Hay una manera segura de almacenar la contraseña localmente en mi computadora? Me preocupa que alguien bruta haya forzado la contraseña en la interfaz pública.

    
pregunta dkimot 20.02.2018 - 22:29
fuente

2 respuestas

0

Si eres el desarrollador del sistema, ese es un modelo inseguro. La contraseña debe incluirse con sal y hacer hash en el lado del cliente, luego se debe volver a escribir con un nonce proporcionado por el servidor, y ese hash se verifica en el servidor. La máquina cliente también debe verificarse antes de verificar la contraseña. Si la IP no es estática, se puede hacer con certificados.

La contraseña ingresada por el usuario no se debe usar como otra cosa que no sea una contraseña, no como una clave (use un KDF), no como una variable de entorno, ni se debe almacenar más tiempo del necesario para la hash. Otros secretos deben derivarse irreversiblemente de él y de otros valores.

Si no eres el desarrollador y una aplicación te ha forzado a usar este modelo, entonces parece que solo estás buscando un administrador de contraseñas de almacenamiento local como LastPass.

    
respondido por el Therac 21.02.2018 - 06:36
fuente
3

Bien, está pidiendo problemas aquí con su configuración actual. ¿Por qué tiene una interfaz de despliegue expuesta a la web?

Necesitas agregar

  1. La lista blanca de IP o el host internamente y se conectan a la red de forma segura
  2. 2FA usando un autenticador - SMS está disponible estos días
  3. Almacene el hash salado no la contraseña
  4. Use PBKDF2 o bCrypt para el hashing. Busque los números de iteraciones sugeridas actuales y la implementación
respondido por el McMatty 20.02.2018 - 23:26
fuente

Lea otras preguntas en las etiquetas