Le password di siloing nel proprio schema bloccato migliorano la sicurezza?

4

Prima di tutto, non so come gli hacker ottengano un'intera tabella di password e li rubano. Non so se i proprietari del sito web siano da biasimare o cosa, ma mi chiedo se ciò implichi l'accesso al DB o meno.

Supponendo che gli hacker rubino le password accedendo al DB con gli utenti dell'applicazione o dell'amministratore, che ne dici di inserire le password nel proprio schema con privilegi a prova di spazio?

PASS.Password con la password hash e la chiave primaria / esterna UserId nella tabella Utente.

Le uniche autorizzazioni che ogni utente DB deve PASSARE dello schema sarebbe la procedura di esecuzione. Nemmeno gli amministratori di DB avrebbero letto i dati personali.

Authenticate by executing IsAuthenticated(@UserId, @HashedPassword) returns bit.

Create password by executing Create(@UserId, @HashedPassword) returns bit.

Update password by executing Update(@UserId, @OldHashedPassword, @NewHashedPassword) returns bit.

E questo è tutto ciò che ottieni. Nessun utente ha il permesso di leggere anche la password con hash, gli hacker potrebbero ancora rubare il tavolo anche se compromettessero l'ambiente?

    
posta Andrew Hoffman 18.12.2013 - 17:12
fonte

1 risposta

4

La maggior parte dei dump delle password grandi viene eseguita con injection SQL . L'isolamento del tuo database di autenticazione dal resto del programma è una strategia di difesa in profondità perché stai pianificando il fatto che uno sviluppatore possa introdurre una vulnerabilità di SQL Injection. La stragrande maggioranza dei database SQL non consente l'impilamento delle query e dovrebbe essere difficile ottenere l'esecuzione di codice remoto arbitrario mediante SQL Injection. Scaricando la password amministrativa o altre credenziali di autenticazione usando SQL Injection (rocce sqlmap) è un modello di attacco molto comune in natura.

OAuth è un approccio ancora migliore . Google e Facebook sono popolari provider OAuth; non solo hanno più utenti ma più risorse da dedicare alla sicurezza. Un sistema è più sicuro quando le minacce alla sicurezza vengono completamente evitate.

    
risposta data 18.12.2013 - 19:15
fonte

Leggi altre domande sui tag