Cual es el algoritmo mas seguro para encriptar contraseñas?

Tiziu · 2023-08-11T05:55:23-0600

Cual es el algoritmo mas seguro para encriptar contraseñas en una base de datos?

BotBeta · 2023-08-11T05:55:31-0600

Actualmente, bcrypt o Argon2 son considerados de los algoritmos más seguros para encriptar contraseñas.

webmaaron · 2023-08-11T07:34:14-0600

Uses el que uses, lo más seguro es no dejar a los usuarios poner contraseñas de **** como su nombre, su fecha de nacimiento... Obligalos a que sean contraseñas largas, mayúsculas, minúsculas, números, caracteres especiales... De nada vale un cifrado "de la ostia" si las contraseñas luego son "password123" ya que terminaran cayendo por fuerza bruta.

miguelcas12 · 2023-08-11T11:10:19-0600

webmaaron dijo:
Uses el que uses, lo más seguro es no dejar a los usuarios poner contraseñas de **** como su nombre, su fecha de nacimiento... Obligalos a que sean contraseñas largas, mayúsculas, minúsculas, números, caracteres especiales... De nada vale un cifrado "de la ostia" si las contraseñas luego son "password123" ya que terminaran cayendo por fuerza bruta.

Uno no asume la responsabilidad del usuario con relacion a la complejidad de su contrasena, como desarrollador es nuestro compromiso mantener las contrasenas seguras en el server sin importar si son de 2 caracteres o de 32. Hay plataformas que tienen exigencias o sugerencias (Es una buena practica) para sus contrasenas a modo de ayudar un poco al usuario, pero si te das cuentas otras que son grandes le da igual el pass que pongas.

Asi que, si es importantisima la pregunta que esta haciendo, y como programador si debe hacer todo lo que este en su mano para mantener los datos sensible de los usuarios lo mas seguro que pueda.

webmaaron · 2023-08-11T11:41:00-0600

miguelcas12 dijo:
Uno no asume la responsabilidad del usuario con relacion a la complejidad de su contrasena, como desarrollador es nuestro compromiso mantener las contrasenas seguras en el server sin importar si son de 2 caracteres o de 32. Hay plataformas que tienen exigencias o sugerencias (Es una buena practica) para sus contrasenas a modo de ayudar un poco al usuario, pero si te das cuentas otras que son grandes le da igual el pass que pongas.

Asi que, si es importantisima la pregunta que esta haciendo, y como programador si debe hacer todo lo que este en su mano para mantener los datos sensible de los usuarios lo mas seguro que pueda.

Decir lo que has dicho me parece irrisorio. El compromiso es crear un sistema seguro pero no un sistema a prueba de bombas. Un arquitecto por mucho que quiera no puede contruir un edificio que no se pueda derrumbar con una bomba. Igual que un programador no puede securizar una contraseña como "pasword1234" para que sea "inhackeable".

La obligación del programador es crear un sistema seguro, la OBLIGACIÓN el usuario es poner los medios para que su uso también sea seguro.

Nos olvidamos muchas veces que los usuarios también tienen obligaciones.

En mi trabajo que no tienen nada que ver con nada de aquí, trabajo para dos multinacionales, por que entonces OBLIGAN al usuario a cambiar la contraseña cada X tiempo y que tiene que tener una complejidad minima? Por que los programadores son unos "ineptos" ? NO, por que nada es 100% seguro y por que la MAYOR BRECHA DE SEGURIDAD ES EL USUARIO.

La pregunta es importante, pero por mucho que uses 1000 sistemas de cifrado, sigue habiendo la necesidad de OBLIGAR al usuario a que proteja también su acceso de forma eficiente.

miguelcas12 · 2023-08-11T12:06:21-0600

webmaaron dijo:
Decir lo que has dicho me parece irrisorio. El compromiso es crear un sistema seguro pero no un sistema a prueba de bombas. Un arquitecto por mucho que quiera no puede contruir un edificio que no se pueda derrumbar con una bomba. Igual que un programador no puede securizar una contraseña como "pasword1234" para que sea "inhackeable".

La obligación del programador es crear un sistema seguro, la OBLIGACIÓN el usuario es poner los medios para que su uso también sea seguro.

Nos olvidamos muchas veces que los usuarios también tienen obligaciones.

En mi trabajo que no tienen nada que ver con nada de aquí, trabajo para dos multinacionales, por que entonces OBLIGAN al usuario a cambiar la contraseña cada X tiempo y que tiene que tener una complejidad minima? Por que los programadores son unos "ineptos" ? NO, por que nada es 100% seguro y por que la MAYOR BRECHA DE SEGURIDAD ES EL USUARIO.

La pregunta es importante, pero por mucho que uses 1000 sistemas de cifrado, sigue habiendo la necesidad de OBLIGAR al usuario a que proteja también su acceso de forma eficiente.

Creo que omististe cuando dije "Hay plataformas que tienen exigencias o sugerencias (Es una buena practica) para sus contrasenas". Yo no estoy hablando de dejar a la suerte la "responsabilidad del usuario", lo que digo es que "no somos responsables" de su mal uso, no te has detenido nunca a leer alguna politica de privacidad de algun sitio?

Para resumirlo, uno cifra, aplica medidas de seguridad, sugerencias, exigencias y descargos de responsabilidad. Si el usuario hace un mal uso de esos recursos, ya nada nos corresponde a nosotros.

miguelcas12 · 2023-08-11T12:12:22-0600

Oh pongamos este ejemplo y creo que con esto se cierra hasta el tema... 😀 El usuario usa un pass de 128 caracteres con, caracteres especiales, mayusculas, minusculas, numeros y hasta geogrificos indios, y un pana por Whatsapp le manda un mensaje tipo: Hola te escrimos de la plataforma y necesitamos tu contrasena para activarla, el pana se la envia y adivina que pasa ? Adios complejidad master de pass

webmaaron · 2023-08-11T12:14:02-0600

miguelcas12 dijo:
Oh pongamos este ejemplo y creo que con esto se cierra hasta el tema... 😀 El usuario usa un pass de 128 caracteres con, caracteres especiales, mayusculas, minusculas, numeros y hasta geogrificos indios, y un pana por Whatsapp le manda un mensaje tipo: Hola te escrimos de la plataforma y necesitamos tu contrasena para activarla, el pana se la envia y adivina que pasa ? Adios complejidad master de pass

Pues entonces quizás no nos hemos entendido, por que en todo momento yo estoy diciendo lo mismo, la mayor brecha de seguridad es el usuario y debe ser responsable...

miguelcas12 · 2023-08-11T12:16:43-0600

webmaaron dijo:
Pues entonces quizás no nos hemos entendido, por que en todo momento yo estoy diciendo lo mismo, la mayor brecha de seguridad es el usuario y debe ser responsable...

Es lo que estoy diciendo, por mas que lo obligues o hagas lo que hagas no somos responsables los programadores del mal uso de nuestra plataforma por parte de los usuarios, pero si tenemos la obligacion los programadores de poner todo el esfuerzo de proteger esos datos, sean cuales sean lo que hayan insertado. 😀

webmaaron · 2023-08-11T12:18:19-0600

miguelcas12 dijo:
Es lo que estoy diciendo, por mas que lo obligues o hagas lo que hagas no somos responsables los programadores del mal uso de nuestra plataforma por parte de los usuarios, pero si tenemos la obligacion los programadores de poner todo el esfuerzo de proteger esos datos, sean cuales sean lo que hallan insertado. 😀

Si claro, pero justamente por eso si tenemos parte de obligación, también debemos poner los metodos para que la otra parte (el usuario) no lo ponga fácil.

Ni podemos estar en su puesto para que no tengan los contraseñas en posits ni podemos hacer que no se la envíen a un desconocido por whatsapp, pero si podemos hacer que no puedan poner contraseñas sencillas.

Tiziu · 2023-08-11T18:05:41-0600

Me encantaron sus respuestas, muchas gracias por sus opiniones. Considero que tanto la seguridad por parte del usuario como la seguridad por parte de los desarrolladores son necesarias. Siempre existe la posibilidad de que un sitio web tenga una puerta trasera, por lo que nada puede considerarse completamente seguro.

ultracobra · 21 Sep 2023

Características: Forzar que cada contraseña tenga MAYÚSCULAS minúsculas #números &carácteres especiales y un número no menor a 8 caracteres...

ultracobra · 19 Oct 2023

No es exactamente un algoritmo pero me parece una estrategia que debe combinarse con algoritmos y es uso de passphrases en vez de contraseñas cortas. Passphrases puede ser un slogan pero algo no común para quien conoce al usuario...

ultracobra · 19 Oct 2023

Ah y si te piden respuestas de seguridad, no atraverse a responder respuestas verdaderas como '¿Cuàl es el apellido de soltera de tumadre?' Son un poco idiota esos sistemas...

fabgonber · 19 Oct 2023

Tiziu dijo:
Cual es el algoritmo mas seguro para encriptar contraseñas en una base de datos?

No guardes contraseñas, ni encriptadas, ni sin encriptar, en tu base de datos, limitate a guardar un hash. Si te roban los hash, no tendrán las contraseñas.

Con el hash tipico (md5) es suficiente. Al menos yo, agrego una palabra secreta, para que en caso de que la clave sea password123 (u otra cosa con hash conocido) el atacante no tenga información suficiente para determinar la clave de tu usuario.

Ideas de lo que yo guardo: (El punto es concatenación)

md5(password.frase_secreta_que_solo_tu_conoces)
md5(password.frase_secreta_que_solo_tu_conoces.id_del_usuario)
md5(password.frase_secreta_que_solo_tu_conoces.email_del_usuario)
md5(password.password.password)

miguelcas12 · 19 Oct 2023

fabgonber dijo:
No guardes contraseñas, ni encriptadas, ni sin encriptar, en tu base de datos, limitate a guardar un hash. Si te roban los hash, no tendrán las contraseñas.

Con el hash tipico (md5) es suficiente. Al menos yo, agrego una palabra secreta, para que en caso de que la clave sea password123 (u otra cosa con hash conocido) el atacante no tenga información suficiente para determinar la clave de tu usuario.

Ideas de lo que yo guardo: (El punto es concatenación)

md5(password.frase_secreta_que_solo_tu_conoces)
md5(password.frase_secreta_que_solo_tu_conoces.id_del_usuario)
md5(password.frase_secreta_que_solo_tu_conoces.email_del_usuario)
md5(password.password.password)

En serio le estas recomendando usar md5? 😳 Esta en lista de algoritmos obsoletos bro (hace años). Hace tiempo comente este post, pero sin dar mi sugerencia, si usas PHP usa password_hash.

fabgonber · 19 Oct 2023

miguelcas12 dijo:
En serio le estas recomendando usar md5? 😳 Esta en lista de algoritmos obsoletos bro (hace años). Hace tiempo comente este post, pero sin dar mi sugerencia, si usas PHP usa password_hash.

el quiere guardar contraseñas, que no lo haga, que guarde hash.

pd: hasta wordpress usa md5

miguelcas12 · 19 Oct 2023

fabgonber dijo:
el quiere guardar contraseñas, que no lo haga, que guarde hash.

pd: hasta wordpress usa md5

Lo usan por la compatibilidad, como predeterminado, no porque sea seguro, y le meten un salt. Pero si quieres implementar una politica de seguridad mas robusta para almacenar contrasenas el mismo WP te permite modificar eso.

fabgonber · 19 Oct 2023

miguelcas12 dijo:
para almacenar contrasenas el mismo WP te permite modificar eso.

insisto: no hay que almacenar contraseñas.

Cual es el algoritmo mas seguro para encriptar contraseñas?

Tiziu

BotBeta

webmaaron

miguelcas12

webmaaron

miguelcas12

miguelcas12

webmaaron

miguelcas12

webmaaron

Tiziu

ultracobra

ultracobra

ultracobra

fabgonber

miguelcas12

fabgonber

miguelcas12

fabgonber