Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: Xyzed en 28 Abril 2021, 04:12 am



Título: Recomendación cifrado/hash.
Publicado por: Xyzed en 28 Abril 2021, 04:12 am
Hola.

Estoy dudando acerca de que cifrado/hash es recomendable utilizar hoy en día para proteger las contraseñas de una base de datos SQL.

¿Cuál recomendarían/utilizarían ustedes?, ¿existe la necesidad de utilizar uno u otro según la circunstancia de uso que se le da?


Saludos.


Título: Re: Recomendación cifrado/hash.
Publicado por: [D]aniel en 28 Abril 2021, 06:56 am
Hola, podes usar AES256 o AES512 y si querés aún más seguridad podes usar un Salt.

(https://hardzone.es/app/uploads-hardzone.es/2020/06/AES-Design.jpg)


Saludos


Título: Re: Recomendación cifrado/hash.
Publicado por: el-brujo en 29 Abril 2021, 11:54 am
pues la idea es utilizar un cifrado que se considere actaulmente "seguro"

¿Es una aplicación en php?

PHP tiene varias funciones seguras de cifrado.

Y todos los lenguajes suelen tenerlo.


Título: Re: Recomendación cifrado/hash.
Publicado por: Xyzed en 30 Abril 2021, 01:47 am
Hola, podes usar AES256 o AES512 y si querés aún más seguridad podes usar un Salt.

Saludos
Hola @[D]aniel.

Ahora me pondré a investigar acerca de AES256 y AES512, me suena el concepto pero no los conocía.

Gracias por la respuesta.



pues la idea es utilizar un cifrado que se considere actaulmente "seguro"

¿Es una aplicación en php?

PHP tiene varias funciones seguras de cifrado.

Y todos los lenguajes suelen tenerlo.
Hola, es una aplicación web que correré con django en sqlite3.

Con la misma base de datos interactuará una app que estoy desarrollando en Python, es un proyecto que incluye la omnicanalidad.

Es decir, es prácticamente todo Python. De todas formas, quizás utilice algún que otro archivo en php.

Utilice anteriormente MD5/SHA1/WHIRLPOOL para php, pero hoy en día veo que hay muchas web´s que contienen millones de datos descifrados como por ejemplo: crackstation.net


Saludos.


Título: Re: Recomendación cifrado/hash.
Publicado por: [D]aniel en 30 Abril 2021, 04:47 am
Hola @[D]aniel.

Ahora me pondré a investigar acerca de AES256 y AES512, me suena el concepto pero no los conocía.

Gracias por la respuesta.


Muy bien, te será muy útil

(https://fotos.subefotos.com/2b6fd719279bd19c1fdd9947d5888bfeo.jpg)


Título: Re: Recomendación cifrado/hash.
Publicado por: WHK en 30 Abril 2021, 09:19 am
pues la idea es utilizar un cifrado que se considere actaulmente "seguro"

¿Es una aplicación en php?

PHP tiene varias funciones seguras de cifrado.

Y todos los lenguajes suelen tenerlo.

Por lo general no se recomienda utilizar los mecanismos de cifrado de los lenguajes ejecutados del lado del servidor, los mismos motores de bases de datos integran por defecto soluciones altamente seguras y robustas para la gestión de contraseñas, por ejemplo la de bcrypt que dentro de su mismo hash contiene su coste y salt altamente seguros, incluso contra ataques de fuerza bruta.

En mi caso utilizo Spring con Bcrypt con un alto coste, hoy por hoy está muy aceptado en el mundo del desarrollo utilizar este método ya que lo soportan muchos motores de bases de datos y vienen integrados por defecto en casi todos los lenguajes de programación ejecutados del lado del servidor.

Citar
Estoy dudando acerca de que cifrado/hash es recomendable utilizar hoy en día para proteger las contraseñas de una base de datos SQL.

Mira:

https://stackoverflow.com/questions/2647158/how-can-i-hash-passwords-in-postgresql
https://docs.djangoproject.com/en/3.2/topics/auth/passwords/#using-bcrypt-with-django

Citar
¿Cuál recomendarían/utilizarían ustedes?

Por lo general uso Java Spring Boot con modelos de datos en persistencia, hibernate, JPA y hasheo con Spring Security + Bcrypt con coste de salt en sha256 y postgres 10.

Citar
Ahora me pondré a investigar acerca de AES256 y AES512, me suena el concepto pero no los conocía.

Ojo, no todos los algoritmos de cifrado sirven para todos los casos, algunos son mas efectivos que otros, especialmente cuando se necesita un hash de ua sola vía, en el caso de AES, tampoco es mas seguro que blowfish (algoritmo que utiliza bcrypt), tampoco tiene integridad cuando necesitas manejar contraseñas, no tiene salt integrado ni costes dinámicos, debes integrarlo manualmente y ahi pueden haber riesgos si te equivocas, AES no se adapta a la necesidad de un servicio WEB donde dependiendo del caso el coste y el performance pueden ser desicivos, en cambio bcrypt está totalmente preparado para este tipo de ambientes y es totalmente configurable y seguro. En lo personal no recomiendo AES para hacer hash de contraseñas en un servicio WEB.

Mira esto: https://stackoverflow.com/questions/30028499/does-bcrypt-uses-aes-448bit-encryption

Saludos.


Título: Re: Recomendación cifrado/hash.
Publicado por: @XSStringManolo en 1 Mayo 2021, 04:48 am
Yo te recomiendo utilizar argon2di, o scrypt.

Mira comparaciones.

Uno de los problemas con los SHA y HMAC-SHA es que son muy rápidos. Y eso no es bueno para seguridad. A más rapido se generan los hashes, más rápidos son de crackear también.
HMAC-SHA a diferencia de SHA usa una clave para cifrar el hash, asique si te hacen un dump con un sqli, no lo pueden romper sin averigurar la contraseña del servidor.

Hay varios artículos que lo explican.
https://medium.com/analytics-vidhya/password-hashing-pbkdf2-scrypt-bcrypt-and-argon2-e25aaf41598e

PBKDF2 usa varias pasadas de HMAC-SHA.



Título: Re: Recomendación cifrado/hash.
Publicado por: WHK en 1 Mayo 2021, 05:38 am
Yo te recomiendo utilizar argon2di, o scrypt.

Lo has utilizado alguna ves en algún proyecto?


Título: Re: Recomendación cifrado/hash.
Publicado por: @XSStringManolo en 1 Mayo 2021, 06:22 am
Lo has utilizado alguna ves en algún proyecto?
Argon2 sí, tienes versión online y libs para todos los lenguajes. Scrypt lo vi muchas veces recomendado pero nunca lo probé.
https://argon2.online/