elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Recomendación cifrado/hash.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Recomendación cifrado/hash.  (Leído 6,689 veces)
Xyzed


Desconectado Desconectado

Mensajes: 306



Ver Perfil
Recomendación cifrado/hash.
« en: 28 Abril 2021, 04:12 am »

Hola.

Estoy dudando acerca de que cifrado/hash es recomendable utilizar hoy en día para proteger las contraseñas de una base de datos SQL.

¿Cuál recomendarían/utilizarían ustedes?, ¿existe la necesidad de utilizar uno u otro según la circunstancia de uso que se le da?


Saludos.


En línea

...
Danielㅤ


Desconectado Desconectado

Mensajes: 1.667


🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: Recomendación cifrado/hash.
« Respuesta #1 en: 28 Abril 2021, 06:56 am »

Hola, podes usar AES256 o AES512 y si querés aún más seguridad podes usar un Salt.




Saludos


« Última modificación: 28 Abril 2021, 06:59 am por [D]aniel » En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.580


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Recomendación cifrado/hash.
« Respuesta #2 en: 29 Abril 2021, 11:54 am »

pues la idea es utilizar un cifrado que se considere actaulmente "seguro"

¿Es una aplicación en php?

PHP tiene varias funciones seguras de cifrado.

Y todos los lenguajes suelen tenerlo.
En línea

Xyzed


Desconectado Desconectado

Mensajes: 306



Ver Perfil
Re: Recomendación cifrado/hash.
« Respuesta #3 en: 30 Abril 2021, 01:47 am »

Hola, podes usar AES256 o AES512 y si querés aún más seguridad podes usar un Salt.

Saludos
Hola @[D]aniel.

Ahora me pondré a investigar acerca de AES256 y AES512, me suena el concepto pero no los conocía.

Gracias por la respuesta.



pues la idea es utilizar un cifrado que se considere actaulmente "seguro"

¿Es una aplicación en php?

PHP tiene varias funciones seguras de cifrado.

Y todos los lenguajes suelen tenerlo.
Hola, es una aplicación web que correré con django en sqlite3.

Con la misma base de datos interactuará una app que estoy desarrollando en Python, es un proyecto que incluye la omnicanalidad.

Es decir, es prácticamente todo Python. De todas formas, quizás utilice algún que otro archivo en php.

Utilice anteriormente MD5/SHA1/WHIRLPOOL para php, pero hoy en día veo que hay muchas web´s que contienen millones de datos descifrados como por ejemplo: crackstation.net


Saludos.
En línea

...
Danielㅤ


Desconectado Desconectado

Mensajes: 1.667


🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: Recomendación cifrado/hash.
« Respuesta #4 en: 30 Abril 2021, 04:47 am »

Hola @[D]aniel.

Ahora me pondré a investigar acerca de AES256 y AES512, me suena el concepto pero no los conocía.

Gracias por la respuesta.


Muy bien, te será muy útil

En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Recomendación cifrado/hash.
« Respuesta #5 en: 30 Abril 2021, 09:19 am »

pues la idea es utilizar un cifrado que se considere actaulmente "seguro"

¿Es una aplicación en php?

PHP tiene varias funciones seguras de cifrado.

Y todos los lenguajes suelen tenerlo.

Por lo general no se recomienda utilizar los mecanismos de cifrado de los lenguajes ejecutados del lado del servidor, los mismos motores de bases de datos integran por defecto soluciones altamente seguras y robustas para la gestión de contraseñas, por ejemplo la de bcrypt que dentro de su mismo hash contiene su coste y salt altamente seguros, incluso contra ataques de fuerza bruta.

En mi caso utilizo Spring con Bcrypt con un alto coste, hoy por hoy está muy aceptado en el mundo del desarrollo utilizar este método ya que lo soportan muchos motores de bases de datos y vienen integrados por defecto en casi todos los lenguajes de programación ejecutados del lado del servidor.

Citar
Estoy dudando acerca de que cifrado/hash es recomendable utilizar hoy en día para proteger las contraseñas de una base de datos SQL.

Mira:

https://stackoverflow.com/questions/2647158/how-can-i-hash-passwords-in-postgresql
https://docs.djangoproject.com/en/3.2/topics/auth/passwords/#using-bcrypt-with-django

Citar
¿Cuál recomendarían/utilizarían ustedes?

Por lo general uso Java Spring Boot con modelos de datos en persistencia, hibernate, JPA y hasheo con Spring Security + Bcrypt con coste de salt en sha256 y postgres 10.

Citar
Ahora me pondré a investigar acerca de AES256 y AES512, me suena el concepto pero no los conocía.

Ojo, no todos los algoritmos de cifrado sirven para todos los casos, algunos son mas efectivos que otros, especialmente cuando se necesita un hash de ua sola vía, en el caso de AES, tampoco es mas seguro que blowfish (algoritmo que utiliza bcrypt), tampoco tiene integridad cuando necesitas manejar contraseñas, no tiene salt integrado ni costes dinámicos, debes integrarlo manualmente y ahi pueden haber riesgos si te equivocas, AES no se adapta a la necesidad de un servicio WEB donde dependiendo del caso el coste y el performance pueden ser desicivos, en cambio bcrypt está totalmente preparado para este tipo de ambientes y es totalmente configurable y seguro. En lo personal no recomiendo AES para hacer hash de contraseñas en un servicio WEB.

Mira esto: https://stackoverflow.com/questions/30028499/does-bcrypt-uses-aes-448bit-encryption

Saludos.
« Última modificación: 30 Abril 2021, 09:30 am por WHK » En línea

@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.397


Turn off the red ligth


Ver Perfil WWW
Re: Recomendación cifrado/hash.
« Respuesta #6 en: 1 Mayo 2021, 04:48 am »

Yo te recomiendo utilizar argon2di, o scrypt.

Mira comparaciones.

Uno de los problemas con los SHA y HMAC-SHA es que son muy rápidos. Y eso no es bueno para seguridad. A más rapido se generan los hashes, más rápidos son de crackear también.
HMAC-SHA a diferencia de SHA usa una clave para cifrar el hash, asique si te hacen un dump con un sqli, no lo pueden romper sin averigurar la contraseña del servidor.

Hay varios artículos que lo explican.
https://medium.com/analytics-vidhya/password-hashing-pbkdf2-scrypt-bcrypt-and-argon2-e25aaf41598e

PBKDF2 usa varias pasadas de HMAC-SHA.

En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Recomendación cifrado/hash.
« Respuesta #7 en: 1 Mayo 2021, 05:38 am »

Yo te recomiendo utilizar argon2di, o scrypt.

Lo has utilizado alguna ves en algún proyecto?
En línea

@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.397


Turn off the red ligth


Ver Perfil WWW
Re: Recomendación cifrado/hash.
« Respuesta #8 en: 1 Mayo 2021, 06:22 am »

Lo has utilizado alguna ves en algún proyecto?
Argon2 sí, tienes versión online y libs para todos los lenguajes. Scrypt lo vi muchas veces recomendado pero nunca lo probé.
https://argon2.online/
« Última modificación: 1 Mayo 2021, 06:24 am por @XSStringManolo » En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Recomendación Con Cifrado [Resuelto]
Criptografía
Keyen Night 4 4,921 Último mensaje 3 Diciembre 2010, 23:44 pm
por Keyen Night
Tipo de cifrado de este hash?
Criptografía
chete 2 3,173 Último mensaje 17 Mayo 2014, 17:45 pm
por engel lex
prevenir injeccion sql usando hash y cifrado/compresión[php]
Seguridad
flacc 6 3,738 Último mensaje 2 Julio 2014, 10:35 am
por flacc
Cifrado hash SHA1 en C
Programación C/C++
mester 2 2,289 Último mensaje 29 Mayo 2016, 17:50 pm
por AlbertoBSD
Mensaje borrado
Hacking
heroes11 2 2,563 Último mensaje 6 Diciembre 2016, 21:05 pm
por heroes11
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines