[pyar] cómo encripto las passwords de mi sistema?

Tordek kedrot en gmail.com
Mar Jun 26 06:14:27 ART 2012

Mensaje anterior: [pyar] cómo encripto las passwords de mi sistema?
Próximo mensaje: [pyar] cómo encripto las passwords de mi sistema?
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 26/06/12 05:12, Marcos Dione wrote:
> On Mon, Jun 25, 2012 at 05:13:02PM -0300, Tordek wrote:
>>  2012/6/25 fisa<fisadev en gmail.com>:
>>  >  Yo lo cambiaría por "si no sabés lo que hacés, aprendé a hacerlo bien.
>>  >  Si tampoco tenés ganas de aprender, contratá a alguien que sepa o
>>  >  tenga ganas de aprender"
>>
>>  En vez de guardar contraseñas, usá OpenID (asumiendo que es posible
>>  hacerlo en tu sistema). Dejás el problema de la seguridad a otro, que
>>  probablemente sí sepa.
>
>      vos mismo lo decís: «probablemente». para confiar en otro tenés
> que poder revisar su código y eventualmente el resto de la seguridad
> alrededor de la base de datos de claves. definitivamente me parece que
> lo de fisa está mas cerca de lo óptimo.
>

Para nada: la idea de usar OpenID es que yo (programador) no tengo 
que confiar en el otro ni revisar su código ni nada. Al que le sería 
relevante eso es al usuario. ¿Debería mostrarle al usuario cómo 
guardo las contraseñas en mi aplicación? ¿Qué evita que le mienta?

Te dejo a vos (el usuario) la responsabilidad de elegir un proveedor 
de identidad confiable: no es mi pérdida si alguien se hace pasar 
por vos.

Y esa no es una responsabilidad que te agrego; como usuario tenés la 
responsabilidad de usar una contraseña segura (hint: si tu pass es 
123456, bcrypt con load factor 20 no ayuda).

Yo, como desarrollador, me libero de la obligación de mantener tu 
contraseña almacenada con seguridad; ahora solo guardo un par de 
valores que dicen a quién le tengo que preguntar si sos vos. Si me 
roban esos valores, no pueden hacerse pasar por vos.

Vos, como usuario, no tenés que confiar en 50 sitios distintos que 
tienen tu contraseña (¿Y todos tienen https? o algun método de 
autenticación que no revele tu contraseña, si es que viaja en texto 
plano, como podría ser SRP). Opcionalmente, no tenés que memorizar 
50 contraseñas distintas, sino solo la de tu proveedor.

-- 
Guillermo O. «Tordek» Freschi. Programador, Escritor, Genio Maligno.
http://tordek.com.ar :: http://twitter.com/tordek

Mensaje anterior: [pyar] cómo encripto las passwords de mi sistema?
Próximo mensaje: [pyar] cómo encripto las passwords de mi sistema?
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the pyar mailing list