Las mejores formas de almacenar una contraseña del lado del servidor [cerrado]

Navega tus respuestas
0

Hoy estaba usando Lotus Notes y me di cuenta de que el programa solicita que la contraseña esté encriptada de muchas maneras. incluso sin acceso a las contraseñas almacenadas, puedo decir que están al menos registradas de 3 maneras diferentes:

  1. reemplaza los caracteres a medida que ingresa su contraseña: escriba A pero él escribe en el campo abc123 .
  2. Genera un color para la contraseña: la contraseña foobar genera el color azul.
  3. Genera una imagen.

Con todo esto, podemos verificar al usuario con más seguridad que solo con una contraseña de texto simple.

Quiero saber que no es una buena pregunta, pero consejos ... ¿Cómo ustedes almacenan estas contraseñas?

¿Solo hash? ¿O en un hachís y en sal? ¿O con más de un campo para verificar?

Creo que la mejor manera para mí es:

  1. generar una sal y almacenarla
  2. genere el hash de contraseña usando la contraseña en texto plano y salt
  3. Usando esta cadena generada para calcular un color y un número del 1 al 10
  4. Y almacene todo (sal, hash (sal y contraseña), color, número)

Por lo tanto, debemos firmar la coincidencia de hash (sal y contraseña) al mismo tiempo que coinciden el color y el número.

Sé que la seguridad nunca es perfecta, pero esta es una buena solución.

¿Qué piensas?

¿Tienen una idea mejor?

desde ahora, gracias

EDIT

Estoy seguro de que Lotus Nores almacena color e imagen, ese no es el punto

No estoy siendo específico de Lotus Notes, me gustaría una opinión más amplia que las soluciones pueden usar en varios idiomas y diferentes bases de datos.

Me pregunto si hay una solución para el almacenamiento de contraseñas mejor que la propuesta.

hipotéticamente si uso hash md5 o hash seguro, no me importa. Lo que quiero saber es si esta solución de cifrado es sólida y si hay una solución mejor.

    
pregunta Nicos Karalis 22.07.2011 - 19:57
fuente

2 respuestas

1

¿Color y número coincidentes? ¿Está seguro de que la información se almacena en lugar de calcularse? Sospecho que solo se almacena un hash de contraseña. El resto probablemente esté determinado sobre la marcha por un algoritmo del lado del cliente. Solo debe almacenar y solo puede verificar la información que ingresa el usuario. A menos que el usuario esté seleccionando un color o una imagen como parte del proceso de autenticación, es probable que solo sea una interfaz llamativa y no un método de autenticación. Su pregunta necesita más claridad al respecto para aquellos de nosotros que no trabajamos con Lotus de forma regular.

    
respondido por el Jeff Ferland 22.07.2011 - 21:10
fuente
0

Puede almacenar su contraseña de muchas maneras diferentes, usar una sal es probablemente una buena idea.

Pero también creo que el uso de un marco para almacenar una contraseña es la mejor manera de almacenar una contraseña, porque sus formas de "crearla" probablemente hayan sido revisadas por muchas personas antes. Esto le permite también utilizar un hash seguro (no md5) o cualquier otra cosa.

    
respondido por el noktec 22.07.2011 - 21:34
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo descifrar las reclamaciones de SAML / p o WS-Trust basadas en ADFS? Consideraciones de cifrado empresarial