Hola, podes usar AES256 o AES512 y si querés aún más seguridad podes usar un Salt.




Saludos

Hola @[D]aniel.

Ahora me pondré a investigar acerca de AES256 y AES512, me suena el concepto pero no los conocía.

Gracias por la respuesta.

---

Hola, es una aplicación web que correré con django en sqlite3.

Con la misma base de datos interactuará una app que estoy desarrollando en Python, es un proyecto que incluye la omnicanalidad.

Es decir, es prácticamente todo Python. De todas formas, quizás utilice algún que otro archivo en php.

Utilice anteriormente MD5/SHA1/WHIRLPOOL para php, pero hoy en día veo que hay muchas web´s que contienen millones de datos descifrados como por ejemplo: crackstation.net


Saludos.

Por lo general no se recomienda utilizar los mecanismos de cifrado de los lenguajes ejecutados del lado del servidor, los mismos motores de bases de datos integran por defecto soluciones altamente seguras y robustas para la gestión de contraseñas, por ejemplo la de bcrypt que dentro de su mismo hash contiene su coste y salt altamente seguros, incluso contra ataques de fuerza bruta.

En mi caso utilizo Spring con Bcrypt con un alto coste, hoy por hoy está muy aceptado en el mundo del desarrollo utilizar este método ya que lo soportan muchos motores de bases de datos y vienen integrados por defecto en casi todos los lenguajes de programación ejecutados del lado del servidor.


Mira:

https://stackoverflow.com/questions/2647158/how-can-i-hash-passwords-in-postgresql
https://docs.djangoproject.com/en/3.2/topics/auth/passwords/#using-bcrypt-with-django


Por lo general uso Java Spring Boot con modelos de datos en persistencia, hibernate, JPA y hasheo con Spring Security + Bcrypt con coste de salt en sha256 y postgres 10.


Ojo, no todos los algoritmos de cifrado sirven para todos los casos, algunos son mas efectivos que otros, especialmente cuando se necesita un hash de ua sola vía, en el caso de AES, tampoco es mas seguro que blowfish (algoritmo que utiliza bcrypt), tampoco tiene integridad cuando necesitas manejar contraseñas, no tiene salt integrado ni costes dinámicos, debes integrarlo manualmente y ahi pueden haber riesgos si te equivocas, AES no se adapta a la necesidad de un servicio WEB donde dependiendo del caso el coste y el performance pueden ser desicivos, en cambio bcrypt está totalmente preparado para este tipo de ambientes y es totalmente configurable y seguro. En lo personal no recomiendo AES para hacer hash de contraseñas en un servicio WEB.

Mira esto: https://stackoverflow.com/questions/30028499/does-bcrypt-uses-aes-448bit-encryption

Saludos.

Lo has utilizado alguna ves en algún proyecto?