Login: registrazione e occultamento della password

Question

Login: registrazione e occultamento della password

#1 da (2 voti)
#2 da (2 voti)

1

Ho un'app di terze parti che registra la password da ogni tentativo di accesso (indipendentemente dal successo o dall'errore). Si tratta di un'operazione standard e serve davvero qualsiasi scopo di sicurezza significativo? Non in uno scenario honeypot speciale, ma un'applicazione aziendale standard.

Inoltre, questa implementazione sembra un'offuscazione totalmente insicura ... c'è un approccio standard che potrebbe produrre questo output?

552A26043B56E619 - computer
752A26043B56E619 - Computer
5E2A3E072B - house
7E2A3E072B - House

obfuscation web-application appsec business-risk

posta Dave 24.05.2016 - 01:35

fonte

2 risposte

2

Non riesco a vedere alcuna richiesta di sicurezza per l'applicazione per archiviare gli input dei client. Inoltre, il "testo cifrato" sembra essere reversibile (invece di un hash). È una cattiva pratica.

risposta data 24.05.2016 - 02:18

fonte

Leggi altre domande sui tag obfuscation web-application appsec business-risk

In che modo la lista nera di un IP che utilizza un firewall protegge dagli attacchi DDoS? Oltre le iniezioni SQL e XSS

score 2 · Accepted Answer

L'unica volta che ho visto qualcosa di simile a questo è in Dovecot (server di posta IMAP) dove puoi facoltativamente configurarlo per registrare un hash della password tentata per scopi di risoluzione dei problemi / debug.

Tuttavia, anche con Dovecot (che è un'implementazione su cui mi fiderei di più di ciò che il tuo appare ), è solo qualcosa che abiliterei temporaneamente per la risoluzione dei problemi / il debugging.

Il motivo è che un semplice hash di una password è ugualmente male perché puoi eseguire attacchi a forza bruta per indovinare la password.

C'è una ragione per cui le persone usano meccanismi sicuri come PBKDF2 per le password hash e facendo il tipo di cosa che fa il software (o lasciando abilitata permanentemente la funzionalità Dovecot) elimina sostanzialmente l'intero punto degli algoritmi di hashing più forti come PBKDF2.

Pertanto ti suggerisco di chiedere con forza agli sviluppatori della tua app di terze parti di rimuovere completamente la funzione di registrazione della password o di introdurre un'opzione per disabilitarla.