La mejor manera de almacenar una contraseña para la aplicación web

6

Sé cómo almacenar las contraseñas para la autenticación de los usuarios (hash, salt, etc.), pero en este caso, estoy desarrollando una aplicación web y necesito conectarme a otros servicios y para esto necesito para almacenar el nombre de usuario y la contraseña, así que si quiero conectarme, necesito leer la contraseña que hace que el hashing sea inútil, por lo que estaba pensando en cifrarlo en la base de datos o tal vez en un archivo protegido. ¿La mejor manera de almacenar una contraseña para la aplicación web?

    
pregunta Cawwer 16.10.2015 - 16:41
fuente

1 respuesta

3
  • La mejor manera es NO almacenar la contraseña en absoluto
  • La segunda forma es usar un secreto público y privado para comunicarse con su servicio (cosas como los certificados oAuth y X.509)
  • Tercero es cifrar los datos en el teléfono mismo

El problema es que cualquier cosa que esté fuera de tu control puede estar sujeta a manipulación.

Facebook, Twitter, Google y algunos otros gigantes tecnológicos crearon el estándar oAuth del cual oAuth-2 lo haría muy bien para usted. < br> Puede almacenar un secreto no tan seguro en el teléfono para asegurar el canal de autenticación que configurar un secreto que solo se conozca en el teléfono y el servidor y que sea específico solo para esa comunicación.

Para saber cómo hacerlo, sin saber qué plataforma está utilizando, no puedo ayudarlo.

Pregúntese por qué necesita tener credenciales de acceso que cualquiera pueda usar. Debería considerar solo las credenciales que pueden ser revocadas fácilmente y que son específicas solo para esa conexión (por lo tanto, un token móvil utilizado en el escritorio produce un bloqueo, por ejemplo).

    
respondido por el LvB 16.10.2015 - 16:51
fuente

Lea otras preguntas en las etiquetas