Al agregar un nombre de usuario al hashing, cualquier valor [duplicado]

0

Haz de cuenta que tengo un sitio web en ejecución que no muestra ningún nombre de usuario en ninguna página. Por lo tanto, no sería un problema para los nombres de usuario de hash. Cuando el usuario inicia sesión, el nombre de usuario no dañado se almacena en una sesión. Usando este nombre de usuario no dañado, se pueden obtener datos específicos del usuario de la base de datos y el nombre de usuario incluso se puede mostrar en las páginas para usuarios registrados.

¿Esto agregaría algo con respecto a la seguridad de los datos? ¿Y es posible que me falte alguna funcionalidad que no funciona cuando el nombre de usuario está oculto?

    
pregunta P.Yntema 31.10.2016 - 23:10
fuente

2 respuestas

4

El hash seguro del nombre de usuario en la base de datos protege la confidencialidad de esa información en caso de que su base de datos caiga en manos de un atacante.

Sin embargo, ten en cuenta que si utilizas el nombre de usuario sin hash de otras formas en tu aplicación, un atacante aún puede obtener información.

Por ejemplo, mencionas:

  

Cuando el usuario inicia sesión, el nombre de usuario no copiado se almacena en una sesión.

Si asumimos que su información de sesión se envía al cliente como parte de la respuesta http normal para un usuario que ha iniciado sesión (por ejemplo, como una cookie), un atacante puede obtener el nombre de usuario si obtiene acceso a ese token de sesión. . OWASP aconseja no almacenar información específica del usuario en las sesiones enviadas a un cliente.

  

Usando este nombre de usuario no dañado, se pueden obtener datos específicos del usuario desde   La base de datos y el nombre de usuario incluso se pueden mostrar en las páginas de   usuarios registrados.

En este caso, el hecho de que pueda usar un nombre de usuario sin hash para buscar información en la base de datos implica que hay cierta información de usuario sin hash en la base de datos, lo que socava el hashing del nombre de usuario en primer lugar. Además, si la información se puede mostrar en las páginas, tenga en cuenta que a menos que la conexión entre el cliente y el servidor esté asegurada en la capa de transporte (TLS), ese nombre de usuario puede ser visible para un atacante.

    
respondido por el feedersec 01.11.2016 - 04:05
fuente
-1

Personalmente, diría que sí. SIN EMBARGO, sus búsquedas se convierten en coincidencias exactas. No más búsqueda borrosa de John "algo u otro", porque simplemente se convirtió en una búsqueda hash.

La razón por la que digo esto es si alguien descarga su base de datos: acaba de entregar una lista de objetivos.

Pero mis comunidades nunca pasan por algo más que manejadores.

    
respondido por el John Holly 01.11.2016 - 00:32
fuente

Lea otras preguntas en las etiquetas