seguridad en bases de datos

[[Delphius]]

Cita:

Empezado por ElMug

Lo que SI se cifra son los passwords

MAL. MUY MAL. Allí hay otro problema más de seguridad.

Una password no se debe cifrar. Porque si se ha de cifrar entonces quiere decir que existe la posibilidad de descifrar... ya sea en un segundo o dentro de 50 años.
En todo caso lo que se almacena no es la contraseña sino una representación de la misma que no sea capaz de lograr el paso inverso. Esto se consigue con algoritmos de reducción, como MD5 por ejemplo. Ahora bien esto no quiere decir que tampoco sea infalible... después de todo es posible que incluso los algoritmos de reducción no funcionen como deben.

El asunto pasa por dificultar lo más posible las cosas al atacante de modo que para cuando logre pasar la seguridad la información que contenga no le sea relevante y ya tengas una aplicación más robusta.

Saludos,

[Casimiro Notevi]

Claro, no deben guardarse los passwords cifrados, ya que entonces existe la posibilidad de descifrarlos.
También hay que aclarar que depende para qué se va usar, como siempre, no es lo mismo una tiendecita de barrio que los datos de una entidad bancaria.

[[mightydragonlor]]

Los password yo los suelo guardar en hash, no es infalible, pero al menos no es reversible, recuerda que hay muchas páginas que puedes llegar con MD5 o con un HASH y te dice cual es su representación, esto es por que ya han calculado miles de millones de contraseñas de manera aleatoria y les han aplicado el MD5, HASH y otros cuantos algoritmos, es mucho trabajo, cabe aclarar.

Saludos.

[Casimiro Notevi]

Cita:

Empezado por mightydragonlor

Los password yo los suelo guardar en hash, no es infalible, pero al menos no es reversible

También suelo seguir ese método.

Cita:

Empezado por mightydragonlor

recuerda que hay muchas páginas que puedes llegar con MD5 o con un HASH y te dice cual es su representación, esto es por que ya han calculado miles de millones de contraseñas de manera aleatoria y les han aplicado el MD5, HASH y otros cuantos algoritmos, es mucho trabajo, cabe aclarar.

De eso no no tenía noticias

[ElMug]

Cita:

Empezado por Delphius

MAL. MUY MAL. Allí hay otro problema más de seguridad.

Una password no se debe cifrar. Porque si se ha de cifrar entonces quiere decir que existe la posibilidad de descifrar... ya sea en un segundo o dentro de 50 años.
En todo caso lo que se almacena no es la contraseña sino una representación de la misma que no sea capaz de lograr el paso inverso. Esto se consigue con algoritmos de reducción, como MD5 por ejemplo. Ahora bien esto no quiere decir que tampoco sea infalible... después de todo es posible que incluso los algoritmos de reducción no funcionen como deben.

El asunto pasa por dificultar lo más posible las cosas al atacante de modo que para cuando logre pasar la seguridad la información que contenga no le sea relevante y ya tengas una aplicación más robusta.

Saludos,

No estoy hablando de lo que lo que un programador pueda o quiera hacer, en lo que me refiero, es a los motores de datos que hacen su cifrado de los passwords, mediante sus servicios, aun cuando la data esta grabada sin cifrar.

[[Delphius]]

Cita:

Empezado por ElMug

No estoy hablando de lo que lo que un programador pueda o quiera hacer, en lo que me refiero, es a los motores de datos que hacen su cifrado de los passwords, mediante sus servicios, aun cuando la data esta grabada sin cifrar.

¿WHAT?
NO te entendí. A ver si te explicas.

Lo que yo te critiqué y lo vuelvo a hacer es que NO SE CIFRA UNA PASSWORD. O mejor dicho, no se debería.
Mi crítica fue muy directa y puntual al señalar que el cifrado de password no es correcto ni apropiado. Tu dijiste muy clarito:

Cita:

Lo que SI se cifra son los passwords

LEE BIEN. Tu dijiste que las password se cifran. Yo simplemente te he dado una explicación de porque NO se cifran. Si tu no entiendes que el proceso por el cual pasan sobre las contraseñas no es un algoritmo de cifrado no es mi problema.

Yo por mi parte lo vuelvo a recalcar, las contraseñas no se cifran. Y no creo que ningun motor de base de datos que se precie guarde una contraseña cifrada... aún con el algoritmo más robusto. Firebird guarda un hash MD5, como así también lo hace Linux.
Y si lo hace Linux ¿es por algo verdad?
No te critico que esté mal o no cifrar una base de datos, o mejor dicho: el contenido de una base de datos. Lee bien lo que yo te he citado.... me limité a lo que es passwaord, sea de base de datos, o lo que fuese. it simple.

Saludos,

[ElMug]

Cita:

Empezado por Delphius

¿WHAT?
NO te entendí. A ver si te explicas.

Lo que yo te critiqué y lo vuelvo a hacer es que NO SE CIFRA UNA PASSWORD. O mejor dicho, no se debería.
Mi crítica fue muy directa y puntual al señalar que el cifrado de password no es correcto ni apropiado. Tu dijiste muy clarito:



LEE BIEN. Tu dijiste que las password se cifran. Yo simplemente te he dado una explicación de porque NO se cifran. Si tu no entiendes que el proceso por el cual pasan sobre las contraseñas no es un algoritmo de cifrado no es mi problema.

Yo por mi parte lo vuelvo a recalcar, las contraseñas no se cifran. Y no creo que ningun motor de base de datos que se precie guarde una contraseña cifrada... aún con el algoritmo más robusto. Firebird guarda un hash MD5, como así también lo hace Linux.
Y si lo hace Linux ¿es por algo verdad?
No te critico que esté mal o no cifrar una base de datos, o mejor dicho: el contenido de una base de datos. Lee bien lo que yo te he citado.... me limité a lo que es passwaord, sea de base de datos, o lo que fuese. it simple.

Saludos,

Tal vez cifrar para ti es una cosa y para mi es otra.

Asi que aclarame:

+ Cual es el verbo que aplicas cuando el password no se graba de manera legible, pero en su lugar se graba algo que esta codificado?

+ Cual es el verbo que se aplica cuando se graba el producto de MD5?

Ahora, de que cómo lo codifica un motor de datos, no creo haberlo puesto en mis comentarios, ni creo que lo haya puesto como interes, o punto de discusion.

Realmente no entiendo el afan en tu argumento, Delphius, asi que haz favor de explicar cual es.

[[mightydragonlor]]

Cita:

Empezado por ElMug

+ Cual es el verbo que aplicas cuando el password no se graba de manera legible, pero en su lugar se graba algo que esta codificado?

Cifrar, y para obtenerlo de nuevo, descifrar.

Cita:

Empezado por ElMug

+ Cual es el verbo que se aplica cuando se graba el producto de MD5?

Picar o cortar sería lo más apropiado, no existe manera, aún, de aplicar un proceso reversible.
Por esto es que un Password no se cifra, por que se puede obtener el mismo haciendo un proceso inverso.

Saludos.

[[Delphius]]

Cita:

Empezado por ElMug

Tal vez cifrar para ti es una cosa y para mi es otra.

Por algo está el diccionario. Y existe un amplísimo concenso de lo que es y no es cifrar.

Cita:

Empezado por ElMug

+ Cual es el verbo que aplicas cuando el password no se graba de manera legible, pero en su lugar se graba algo que esta codificado?

Aquí es justamente tu problema: porque para ti justamente es equivalente hablar de manera "ilegible" tanto un algoritmo de cifrado con algoritmo de reducción.
Una cosa es codificar, cuyo objetivo es luego descomponerlo para obtener el original. Y otra muy diferente es obtener una "clave" que represente de manera inequívoca y única un mensaje, o lo que fuese.

Cita:

Empezado por ElMug

+ Cual es el verbo que se aplica cuando se graba el producto de MD5?

No hay un término aceptado en nuestra lengua para ello, pero no por dicha falta se debiera utilizar el término cifrado.
Ya que se trata de algoritmos de reducción lo más de esperarse es que su hubiera un término relacionado con la palabra reducción. Tal vez no sean las mejores palabras las propuestas por mightydragonlor pero es un comienzo.

Cita:

Empezado por ElMug

Ahora, de que cómo lo codifica un motor de datos, no creo haberlo puesto en mis comentarios, ni creo que lo haya puesto como interes, o punto de discusion.

Claro que lo has puesto. Al haber asegurado, y enmarcarlo con mayúsculas lo dejaste bien en claro. Tu mismo lo has asegurado: las contraseñas SI se cifran. Entonces, desde tu punto de vista por tanto en cualquier software que se requiere de una contraseña las mismas estarán cifradas, cual sea el algoritmo elegido no interesa... mientras sea de cifrado.

Cita:

Empezado por ElMug

Realmente no entiendo el afan en tu argumento, Delphius, asi que haz favor de explicar cual es.

Lo expliqué en claro: señalarte tu falta, tu error. Me he limitado a decirte que las contraseñas NO se han de cifrar, o mejor dicho no se deberían (porque hay quienes lo hacen... o peor aún... la almacenan de secas). Que es una falta de seguridad hacerlo ya que como algoritmos de cifrado se puede recuperar el original. Si toma 5, 10 o 50 años no interesa. El punto es que es posible revertirlo.

No sucede lo mismo con los algoritmos de reducción, que no son invertibles. Y he dado dos ejemplos en donde puedes encontrar justamente la utilización de MD5: uno de ellos es precisamente un motor de base de datos, Firebird. Y el otro es un sistema Operativo, Linux. En ambos en lugar de almacenar las contraseñas cifradas, se guarda la reducción o su clave MD5. Y si tienes dudas al respecto, allí tienes sus códigos fuentes... que son proyectos Open Source. Y seguramente se pueden encontrar más ejemplos de la utilización de algoritmos de reducción en lugar de almacenar contraseñas.

No te critiqué en lo demás. Solamente me detuve a señalar tu gravísima falta sobre una apreciación tuya que intentaste pasar como la gran verdad justamente al exponerlas en mayúsculas y en explicarte que en eso estás muy errado.

Y ahora me detengo en señalarte a ti ya que eres tan metido en inglés y en el español como lo has estado dando cátedra estos días... ¿Cómo carajos se te ocurre decir cifrado a algo que no lo es si en verdad no era tu intención llamarlo así? Si hubieras expuesto comillas a la palabra, al menos así se valdría y se entendería que no necesariamente te referías exactamente a un cifrado sino a otra cosas algo "similar". Oh... mira, usé comillas... seguramente las conoces y saben para que son.

Saludos,

[ElMug]

Hola Delphius,

Creo que te andas pasando de la raya en tus juicios y te haces eso que te precipites en fallas.

1. En primer lugar, basicamente toda esta tecnologia esta definida en Ingles, y hasta tu mismo admites que no hay palabras apropiadas para algunos terminos en Español

2. Aplicar el resultado de un proceso MD5, por ejemplo, para mi es "Encryption" y yo la traduzco como cifrar. Antes use "encriptar" pero luego vi que esa palabra no existe en el diccionario de la Real Academia Española. En cambio la palabra "cifrar" si existe. Esto lo menciono porque traes como arma de ataque "el uso del diccionario".

3. Los procesos como el MD4, el MD5, los SHA, y sus derivados, en Ingles siguen siendo "encryption algorithms". Y si tu no les puede poner nombre en Español, pues para mi siguen siendo "cifrar".

4. Son algoritmos de "one way", o sea que no hay desde principio "anti-algoritmo", o sea algoritmo de revertir. Mas eso no les quita que sigan siendo "encryption" o "cifrar". Y aunque veo que NO TE PARECE el nombre, veo tambien que NO TIENES alternativa. Es por eso que sinceramente no comprendo tu afan en el argumento.

5. Ahora en cuanto a los errado de tus argumentos, uno de ellos es el que "No se cifran" y argulles que de lo contrario se podria averiguar el password de los usuarios, aunque admites que puede tardar 50 años. Pues bien, fijate que ESA no es la razon por la que se usa el "hashing". La principal razon es porque los algoritmos bi-direccionales son mucho mas lentos que los de tipo "hashing", y tambien usan mas recursos de memoria y CPU. Claro que esto es fundamento historico, pero tu argumento de que con ellos nadie puede saber el password, yo te digo que, actualmente, es mucho mas facil violar un MD5 que un algoritmo de dos vias.

6. Linux, hasta donde se, por ejemplo ya no usa el MD5, pues deberias de saber que simplemente con poner en google el resultado de un hash, es alta la posibilidad de que saque una frase que de ese hash. Y es que hay diccionarios con BILLONES de hashes, disponibles a quien sea que facilitan eso. Claro que el logro se relaciona con lo complejo de el password usado.

7. Aparte, que esta demostrado que por ejemplo para el MD5, hay mas de UNA frase que de como resultado el mismo MD5. Eso ya esta verificado, al grado que el MD5 se considera inapropiado para uso en passwords, y ningun sistema de reputacion lo usa para cifrar passwords ("encriptar" o lo que gusteis llamarle). A eso se le llaman (en Ingles) "Collitions", y creo que serian "coliciones" o "choques", mas no porque no haya el termino (en Español), ya ande uno errado en lo tecnico.

La verdad es que ahorita me gustaria saber de donde sacaste eso de que "no se cifran" los passwords (entendiendo que te refieres a que en exclusiva, se use hashing), y especialmente LAS RAZONES, que lo justifiquen, y no me refiero a la tradicion.

Si crees que "hashing" es de alguna manera "superior" a un algoritmo de dos vias, pues explicate el por que.

Ahora, a falta de terminos, para traducir el cifrado en base de "hashing" o algoritmos uni-direccionales, pues hay varias, y no "picar" como se ha sugerido.

"Comprimir" o "Digerir", diria que serian mucho mas adecuados.