[pyar] cómo encripto las passwords de mi sistema?

[Carlos Miguel FARIAS]

El 60% de los fallos en la seguridad en los sistemas se debe a la
"estupida" contraseña elegida por el usuario. Y una contraseña nunca debe
circular plana ni ser reversible.
En un sitio web, la contraseña debe ser cifrada a nivel navegador, y
circular ya cifrada, el cifrado no debe ser reversible (algoritmo hashing),
o sea que la única forma de obtener la clave, en cualquier punto, sea
obener la clave o un sinónimo del hash. Un hash bien hecho, no podría
lograr sinónimos por fuerza bruta.
La contraseña deberá ser siempre guardada en forma cifrada, nunca plana.
Una vez logrado eso, solo resta hacer que el usuario aprenda a que el
responsable de su autenticaciòn es el, si pone contraseñas testiculosas que
se aguante el apreton de ... si después lo suplantan.
Una contraseña deberìa combinar letras y números, no menor de 8 caracteres,
deberìa cambiarse periodicamente (frecuencia proporcional a los datos que
se resguardan) y asi por el estilo.
Saludos: Miguel, Santa Rosa (LP)


El 26 de junio de 2012 06:14, Tordek <kedrot en gmail.com> escribió:

> On 26/06/12 05:12, Marcos Dione wrote:
>
>> On Mon, Jun 25, 2012 at 05:13:02PM -0300, Tordek wrote:
>>
>>>  2012/6/25 fisa<fisadev en gmail.com>:
>>>  >  Yo lo cambiaría por "si no sabés lo que hacés, aprendé a hacerlo
>>> bien.
>>>  >  Si tampoco tenés ganas de aprender, contratá a alguien que sepa o
>>>  >  tenga ganas de aprender"
>>>
>>>  En vez de guardar contraseñas, usá OpenID (asumiendo que es posible
>>>  hacerlo en tu sistema). Dejás el problema de la seguridad a otro, que
>>>  probablemente sí sepa.
>>>
>>
>>     vos mismo lo decís: «probablemente». para confiar en otro tenés
>> que poder revisar su código y eventualmente el resto de la seguridad
>> alrededor de la base de datos de claves. definitivamente me parece que
>> lo de fisa está mas cerca de lo óptimo.
>>
>>
> Para nada: la idea de usar OpenID es que yo (programador) no tengo que
> confiar en el otro ni revisar su código ni nada. Al que le sería relevante
> eso es al usuario. ¿Debería mostrarle al usuario cómo guardo las
> contraseñas en mi aplicación? ¿Qué evita que le mienta?
>
> Te dejo a vos (el usuario) la responsabilidad de elegir un proveedor de
> identidad confiable: no es mi pérdida si alguien se hace pasar por vos.
>
> Y esa no es una responsabilidad que te agrego; como usuario tenés la
> responsabilidad de usar una contraseña segura (hint: si tu pass es 123456,
> bcrypt con load factor 20 no ayuda).
>
> Yo, como desarrollador, me libero de la obligación de mantener tu
> contraseña almacenada con seguridad; ahora solo guardo un par de valores
> que dicen a quién le tengo que preguntar si sos vos. Si me roban esos
> valores, no pueden hacerse pasar por vos.
>
> Vos, como usuario, no tenés que confiar en 50 sitios distintos que tienen
> tu contraseña (¿Y todos tienen https? o algun método de autenticación que
> no revele tu contraseña, si es que viaja en texto plano, como podría ser
> SRP). Opcionalmente, no tenés que memorizar 50 contraseñas distintas, sino
> solo la de tu proveedor.
>
> --
> Guillermo O. «Tordek» Freschi. Programador, Escritor, Genio Maligno.
> http://tordek.com.ar :: http://twitter.com/tordek
>
> ______________________________**_________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/**listinfo/pyar<http://listas.python.org.ar/listinfo/pyar>
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20120626/5777b594/attachment.html>