Itqualityassurance
- ¿Está la contraseña en el lado del cliente??
- ¿Deberías hash Client Secret??
- ¿Debo hash la contraseña antes de enviarla al lado del servidor??
- Es sha256 bueno para el hash de contraseña?
¿Está la contraseña en el lado del cliente??
Al hash en el servidor, las contraseñas están adecuadamente protegidas incluso en el caso de una fuga de base de datos. Al hash en el cliente, la contraseña no deja el navegador del usuario e incluso la aplicación web no aprende la contraseña.
¿Deberías hash Client Secret??
Se recomienda el secreto del cliente por razones de seguridad. El hash unidireccional del secreto del cliente proporciona seguridad adicional contra los atacantes ocultando los valores secretos del cliente de texto sin formato de la vista tanto en la interfaz como en la base de datos.
¿Debo hash la contraseña antes de enviarla al lado del servidor??
Debe ser irreversible antes de dejar al cliente, ya que no es necesario que el servidor conozca la contraseña real. El hashing luego transmitir resuelve problemas de seguridad para usuarios perezosos que usan la misma contraseña en múltiples ubicaciones (sé que sí).
Es sha256 bueno para el hash de contraseña?
La elección de un algoritmo lento se prefiere para el hash de contraseña. De los esquemas de hash proporcionados, solo PBKDF2 y BCrypt están diseñados para ser lentos, lo que los convierte en la mejor opción para el hashing de contraseña, MD5 y SHA-256 fueron diseñados para ser rápidos y, como tal, esto los convierte en una opción menos que ideal.
