Contenidos
Contraseña más fuerte
Después de utilizar el restablecimiento de 40 segundos como parte de la solución de un problema anterior ya resuelto, estoy volviendo a dar acceso a todos los usuarios. Como parte del perfil de usuario, el administrador puede establecer una contraseña para cada usuario. Durante el proceso de cambiar la configuración por defecto de “Off” a “On” se abre un cuadro de diálogo donde se puede establecer la contraseña para el usuario.
Me he preguntado en el pasado cuál sería la función de esa contraseña si no es para entrar en la cuenta de MyCloud.com. Recuerdo que hace años configuré contraseñas para todos los usuarios y jugué a volver a poner la selección de contraseñas en “off”, pero no parecía tener ningún efecto si se establecía una contraseña o no (al menos no en la aplicación para la que usábamos My Cloud).
Una de las funciones de la opción de contraseña en la pestaña de usuario de Mi Nube es controlar el acceso a los recursos compartidos privados cuando se accede a ellos en la red local. También se establece el nivel de permiso (Acceso total, Acceso de sólo lectura, Sin acceso) que tiene el usuario con respecto a un Private Share. Esa contraseña generalmente no tiene nada que ver con el acceso remoto/acceso a la nube o el portal web MyCloud.com.
Función de contraseña Mysql
La validación de esta identidad establece una relación de confianza para posteriores interacciones. La autenticación también permite la rendición de cuentas al hacer posible vincular el acceso y las acciones a identidades específicas. Tras la autenticación, los procesos de autorización pueden permitir o limitar los niveles de acceso y acción permitidos a esa entidad.
Las contraseñas pueden tener una longitud máxima de 30 bytes. Hay una variedad de maneras de asegurar las contraseñas, que van desde requerir que las contraseñas tengan una longitud razonable hasta crear scripts de verificación de la complejidad de las contraseñas personalizados que hagan cumplir los requisitos de la política de complejidad de las contraseñas que se aplican en su sitio. Consulte las directrices adicionales descritas en Directrices para asegurar las contraseñas.
Si asigna el perfil a un usuario, éste no podrá superar estos límites. Puede utilizar los perfiles para configurar los ajustes de la base de datos, como las sesiones por usuario, las funciones de registro y seguimiento, etc. Los perfiles también pueden controlar las contraseñas de los usuarios. Para encontrar información sobre la configuración actual de las contraseñas en el perfil, puede consultar la vista del diccionario de datos DBA_PROFILES.
Lista de contraseñas
¿Se considera buena o mala práctica utilizar la función de contraseñas de MySQL para hacer un hash de las contraseñas utilizadas por una aplicación? Puedo ver los pros y los contras. Tengo curiosidad por saber si hay un consenso general sobre si es bueno o malo.
Si estás usando una función de la base de datos para hacer un hash de las contraseñas, entonces por definición tienen que llegar a la base de datos sin hacer un hash: Por lo tanto, yo preferiría hacerlo mucho más cerca de la “fuente”, es decir, en la aplicación del frontend, para no estar pasando información expuesta.
El cifrado existe desde hace mucho tiempo. Los egipcios lo utilizaban para crear misterio y diversión, y los romanos para enviar mensajes secretos. Cuando se encripta una contraseña, se aplica algún tipo de algoritmo que la desordena. Aplicando la clave, la descifra.
ROT13 es obviamente un algoritmo bastante débil, pero es útil para ilustrar el punto clave aquí – Los datos encriptados son reversibles. Es así por diseño. No tiene sentido encriptar un mensaje secreto si la persona en el otro extremo es incapaz de descifrarlo. Por eso es útil para cosas como los números de las tarjetas de crédito o los correos electrónicos. El navegador web en el que estás leyendo esto también utiliza la encriptación.
Qué es una contraseña
Deberías usar un hash de contraseña (también conocido como Función de Derivación de Clave Basada en Contraseña o PBKDF si se usa para derivar una clave) como una de las variantes seguras de Argon2 para almacenar contraseñas, no una función hash genérica criptográficamente segura.
Sin embargo, si se trabaja con contraseñas, no actualizar su seguridad durante 50 años es una locura; ya hay mucho debate sobre la seguridad de las contraseñas. Por lo general, las contraseñas sólo ofrecen una cierta cantidad de seguridad, a menudo en el rango de 30-50 bits. Eso ya no proporciona suficiente entropía, y mucho menos dentro de 50 años.
Los hashtags de las contraseñas añaden un factor de trabajo, pero dentro de 50 años este factor de trabajo puede ser insignificante debido a los avances en la fabricación de chips. Por lo tanto, el factor de trabajo adicional (por ejemplo, introducido por un recuento de iteraciones) se ha convertido en un obstáculo mucho menor que hay que superar. Tenga en cuenta que la búsqueda de contraseñas es una tarea fácilmente paralela, por lo que no depende mucho de la velocidad de un solo núcleo de la CPU.
También se puede optar por 128 o incluso 256 bits de seguridad y dejar que la gente escriba una contraseña / clave generada aleatoriamente (por ejemplo, como 32 / 64 dígitos hexadecimales). De esta forma, podrías utilizar un simple hash para ocultar la contraseña/clave en reposo. Para esto podrías usar uno de los algoritmos de hash anteriores; yo optaría por SHA-3. Sin embargo, debido a la contraseña más grande, la gestión de su contraseña se vuelve más complicada ya que los humanos probablemente no serán capaces de recordarla.
Posts Relacionados:
Bienvenid@s a Trenmadridalicante.es, soy Carlos de la Cerda Gutiérrez, copywriter.
En mi blog encontraréis diversas noticias de actualidad.