[pyar] cómo encripto las passwords de mi sistema?
Tordek
kedrot en gmail.com
Mar Jun 26 06:14:27 ART 2012
On 26/06/12 05:12, Marcos Dione wrote:
> On Mon, Jun 25, 2012 at 05:13:02PM -0300, Tordek wrote:
>> 2012/6/25 fisa<fisadev en gmail.com>:
>> > Yo lo cambiaría por "si no sabés lo que hacés, aprendé a hacerlo bien.
>> > Si tampoco tenés ganas de aprender, contratá a alguien que sepa o
>> > tenga ganas de aprender"
>>
>> En vez de guardar contraseñas, usá OpenID (asumiendo que es posible
>> hacerlo en tu sistema). Dejás el problema de la seguridad a otro, que
>> probablemente sí sepa.
>
> vos mismo lo decís: «probablemente». para confiar en otro tenés
> que poder revisar su código y eventualmente el resto de la seguridad
> alrededor de la base de datos de claves. definitivamente me parece que
> lo de fisa está mas cerca de lo óptimo.
>
Para nada: la idea de usar OpenID es que yo (programador) no tengo
que confiar en el otro ni revisar su código ni nada. Al que le sería
relevante eso es al usuario. ¿Debería mostrarle al usuario cómo
guardo las contraseñas en mi aplicación? ¿Qué evita que le mienta?
Te dejo a vos (el usuario) la responsabilidad de elegir un proveedor
de identidad confiable: no es mi pérdida si alguien se hace pasar
por vos.
Y esa no es una responsabilidad que te agrego; como usuario tenés la
responsabilidad de usar una contraseña segura (hint: si tu pass es
123456, bcrypt con load factor 20 no ayuda).
Yo, como desarrollador, me libero de la obligación de mantener tu
contraseña almacenada con seguridad; ahora solo guardo un par de
valores que dicen a quién le tengo que preguntar si sos vos. Si me
roban esos valores, no pueden hacerse pasar por vos.
Vos, como usuario, no tenés que confiar en 50 sitios distintos que
tienen tu contraseña (¿Y todos tienen https? o algun método de
autenticación que no revele tu contraseña, si es que viaja en texto
plano, como podría ser SRP). Opcionalmente, no tenés que memorizar
50 contraseñas distintas, sino solo la de tu proveedor.
--
Guillermo O. «Tordek» Freschi. Programador, Escritor, Genio Maligno.
http://tordek.com.ar :: http://twitter.com/tordek
More information about the pyar
mailing list