¡Con tantos ataques! – ¿Como almacenar las claves?

A raíz de los últimos ataques que han recibido páginas de empresas importantes y reconocidas como Adobe, y hace poco tiempo atrás Sony. el especialista de seguridad australiano Paul Ducklin escribió un artículo para Naked Security donde nos dá una idea de como hacer para almacenar correctamente las claves de los usuarios.

Paul nos hace una aproximación en 5 pasos, donde el primer paso es el más inseguro y va subiendo de nivel hasta llegar al nivel 5, que él considera suficientemente seguro como para ser implementado.

El nivel 5 conocido como “Hash Stretching” propuesto por Ulrich Drepper en abril de 2008 en su articulo (http://www.akkadia.org/drepper/SHA-crypt.txt) utiliza el proceso de tomar un número aleatorio generado con algoritmos robustos al que se denomina “Salt” y combinarlo con la clave del usuario para generar un hash SHA-256 o SHA-512 y repetir este procedimiento durante un número determinado de iteraciones, tomando como entrada “Salt” el HASH generado en el paso anterior hasta conseguir un HASH único e irrepetible.

Luego se almacena en la base de datos de usuarios, el ID del usuario, el número de iteraciones a utilizar en el ciclo, el “Salt” original y el HASH calculado con el proceso de Hash Stretching. También recomienda ir incrementando el número de iteraciones utilizadas para generar el stretching anualmente, a medida que el poder de cómputo se vaya incrementando, esto para prevenir que los delincuentes puedan utilizar el poder de cómputo contra nuestras bases de datos.

El articulo esta por demás interesante y todos los desarrolladores de sistemas que requieren utilizar seguridad deberían leerlo, aquí les dejo el link del artículo de Paul Ducklin y el enlace al artículo original de Ulrich Drepper.

http://nakedsecurity.sophos.com/2013/11/20/serious-security-how-to-store-your-users-passwords-safely/

http://www.akkadia.org/drepper/SHA-crypt.txt

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s