pessoal, acho uma boa este tipo de coisa ficar no sistema desenvolvido. não vejo com bons olhos o sistema de banco de dados ficar cuidando do algoritmo e segurança de uma senha. Pense bem antes de fazer esta implementação.
Aqui[1] tem uma explicação dos algoritmos atuais e os seus motivos. Pessoalmente eu não utilizaria md5 e sha-1 nem com salt e nem com pepper, nunca os utilizaria. Fora que indico fazer "hash do hash" no mínimo umas 10k, sim 10.000 vezes, para aumentar demasiadamente o custo computacional do ataque de força bruta. fazer este tanto de iterações no hash para o usuario não e anda, por exemplo no algoritmo bcrypt, que é feito para ser lento, a gente acrescenta uns 0,3s que é um piscar de olhos, mas para uma máquina que tem que tentar bilhões de senhas é uma eternidade... Ronilson, vai pensando na sua implementação, na arquitetura da aplicação e se o banco de dados é o melhor local para você fazer o hash de senhas e guardá-las. Segurança da informação começa na fronteira, não adianta ter um mega absurdo algoritmo de hash de senha se é fácil chegar aos dados pelo SO. 1 - http://pt.stackoverflow.com/questions/7620/scrypt-bcrypt-ou-qualquer-outra-coisa -- Flávio Alves Granato gpg: 968F:A938:70B9:82C7:5198:2C74:13CB:2C25:EF1E:726D 2016-06-20 19:41 GMT-03:00 Ronilson <[email protected]>: > Valeu pela diga Everton e Tiago. Vou ver os links que vocês mandaram. > Obrigado. > > *Ronilson Santos* > > Em 20 de junho de 2016 18:58, Everton B <[email protected]> escreveu: > >> Se for utilizar hash's, considere aplicar um salt [1], pois caso haja >> vazamento dos dados desta tabela, a maioria das senhas serão descobertas >> utilizando um rainbow table [2][3] >> >> [1] https://en.wikipedia.org/wiki/Salt_(cryptography) >> [2] https://crackstation.net/ >> [3] http://project-rainbowcrack.com/table.htm >> >> >> >> -- >> Everton >> >> 2016-06-20 18:49 GMT-03:00 Tiago José Adami <[email protected]>: >> >>> Em 20 de junho de 2016 18:38, Ronilson <[email protected]> escreveu: >>> > Boa noite. >>> > >>> > Sabendo que pretendemos trabalhar com senha criptografada, qual a >>> forma mais >>> > segura de persistir esta senha no banco? Qual o tipo de dado mais >>> > recomendado, para este caso, no PosgreSQL? >>> > >>> > Alguém pode me dar alguma dica? Sugerir algum artigo sobre o assunto? >>> >>> A resposta é (como quase sempre): "depende". >>> >>> O que você pretende fazer? Autenticar acesso de usuários? >>> >>> Na maioria das vezes eu não armazeno as senhas criptografadas, mas >>> sim, um hash MD5 [1] das senhas utilizando a função md5 do PostgreSQL >>> em um campo CHAR(32). Depois comparo o hash da senha digitada com o >>> hash gravado no banco. >>> >>> Não é o método mais seguro, mas na maioria dos casos atende muito bem. >>> >>> [1] https://www.postgresql.org/docs/9.5/static/functions-string.html >>> >>> >>> TIAGO J. ADAMI >>> http://www.adamiworks.com >>> http://www.clouddba.com.br >>> _______________________________________________ >>> pgbr-geral mailing list >>> [email protected] >>> https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral >> >> >> >> _______________________________________________ >> pgbr-geral mailing list >> [email protected] >> https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral >> > > > _______________________________________________ > pgbr-geral mailing list > [email protected] > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral >
_______________________________________________ pgbr-geral mailing list [email protected] https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
