Uno no asume la responsabilidad del usuario con relacion a la complejidad de su contrasena, como desarrollador es nuestro compromiso mantener las contrasenas seguras en el server sin importar si son de 2 caracteres o de 32. Hay plataformas que tienen exigencias o sugerencias (Es una buena practica) para sus contrasenas a modo de ayudar un poco al usuario, pero si te das cuentas otras que son grandes le da igual el pass que pongas.Uses el que uses, lo más seguro es no dejar a los usuarios poner contraseñas de **** como su nombre, su fecha de nacimiento... Obligalos a que sean contraseñas largas, mayúsculas, minúsculas, números, caracteres especiales... De nada vale un cifrado "de la ostia" si las contraseñas luego son "password123" ya que terminaran cayendo por fuerza bruta.
Decir lo que has dicho me parece irrisorio. El compromiso es crear un sistema seguro pero no un sistema a prueba de bombas. Un arquitecto por mucho que quiera no puede contruir un edificio que no se pueda derrumbar con una bomba. Igual que un programador no puede securizar una contraseña como "pasword1234" para que sea "inhackeable".Uno no asume la responsabilidad del usuario con relacion a la complejidad de su contrasena, como desarrollador es nuestro compromiso mantener las contrasenas seguras en el server sin importar si son de 2 caracteres o de 32. Hay plataformas que tienen exigencias o sugerencias (Es una buena practica) para sus contrasenas a modo de ayudar un poco al usuario, pero si te das cuentas otras que son grandes le da igual el pass que pongas.
Asi que, si es importantisima la pregunta que esta haciendo, y como programador si debe hacer todo lo que este en su mano para mantener los datos sensible de los usuarios lo mas seguro que pueda.
Decir lo que has dicho me parece irrisorio. El compromiso es crear un sistema seguro pero no un sistema a prueba de bombas. Un arquitecto por mucho que quiera no puede contruir un edificio que no se pueda derrumbar con una bomba. Igual que un programador no puede securizar una contraseña como "pasword1234" para que sea "inhackeable".
La obligación del programador es crear un sistema seguro, la OBLIGACIÓN el usuario es poner los medios para que su uso también sea seguro.
Nos olvidamos muchas veces que los usuarios también tienen obligaciones.
En mi trabajo que no tienen nada que ver con nada de aquí, trabajo para dos multinacionales, por que entonces OBLIGAN al usuario a cambiar la contraseña cada X tiempo y que tiene que tener una complejidad minima? Por que los programadores son unos "ineptos" ? NO, por que nada es 100% seguro y por que la MAYOR BRECHA DE SEGURIDAD ES EL USUARIO.
La pregunta es importante, pero por mucho que uses 1000 sistemas de cifrado, sigue habiendo la necesidad de OBLIGAR al usuario a que proteja también su acceso de forma eficiente.
Pues entonces quizás no nos hemos entendido, por que en todo momento yo estoy diciendo lo mismo, la mayor brecha de seguridad es el usuario y debe ser responsable...Oh pongamos este ejemplo y creo que con esto se cierra hasta el tema... 😀 El usuario usa un pass de 128 caracteres con, caracteres especiales, mayusculas, minusculas, numeros y hasta geogrificos indios, y un pana por Whatsapp le manda un mensaje tipo: Hola te escrimos de la plataforma y necesitamos tu contrasena para activarla, el pana se la envia y adivina que pasa ? Adios complejidad master de pass
Es lo que estoy diciendo, por mas que lo obligues o hagas lo que hagas no somos responsables los programadores del mal uso de nuestra plataforma por parte de los usuarios, pero si tenemos la obligacion los programadores de poner todo el esfuerzo de proteger esos datos, sean cuales sean lo que hayan insertado. 😀Pues entonces quizás no nos hemos entendido, por que en todo momento yo estoy diciendo lo mismo, la mayor brecha de seguridad es el usuario y debe ser responsable...
Si claro, pero justamente por eso si tenemos parte de obligación, también debemos poner los metodos para que la otra parte (el usuario) no lo ponga fácil.Es lo que estoy diciendo, por mas que lo obligues o hagas lo que hagas no somos responsables los programadores del mal uso de nuestra plataforma por parte de los usuarios, pero si tenemos la obligacion los programadores de poner todo el esfuerzo de proteger esos datos, sean cuales sean lo que hallan insertado. 😀
No guardes contraseñas, ni encriptadas, ni sin encriptar, en tu base de datos, limitate a guardar un hash. Si te roban los hash, no tendrán las contraseñas.Cual es el algoritmo mas seguro para encriptar contraseñas en una base de datos?
No guardes contraseñas, ni encriptadas, ni sin encriptar, en tu base de datos, limitate a guardar un hash. Si te roban los hash, no tendrán las contraseñas.
Con el hash tipico (md5) es suficiente. Al menos yo, agrego una palabra secreta, para que en caso de que la clave sea password123 (u otra cosa con hash conocido) el atacante no tenga información suficiente para determinar la clave de tu usuario.
Ideas de lo que yo guardo: (El punto es concatenación)
md5(password.frase_secreta_que_solo_tu_conoces)
md5(password.frase_secreta_que_solo_tu_conoces.id_del_usuario)
md5(password.frase_secreta_que_solo_tu_conoces.email_del_usuario)
md5(password.password.password)
el quiere guardar contraseñas, que no lo haga, que guarde hash.En serio le estas recomendando usar md5? 😳 Esta en lista de algoritmos obsoletos bro (hace años). Hace tiempo comente este post, pero sin dar mi sugerencia, si usas PHP usa password_hash.
el quiere guardar contraseñas, que no lo haga, que guarde hash.
pd: hasta wordpress usa md5
insisto: no hay que almacenar contraseñas.para almacenar contrasenas el mismo WP te permite modificar eso.
Utilizamos cookies y tecnologías similares para los siguientes fines:
¿Aceptas las cookies y estas tecnologías?
Utilizamos cookies y tecnologías similares para los siguientes fines:
¿Aceptas las cookies y estas tecnologías?