Ukadanie citlivych dat v DB rubrika: Databáze: SQL

7 xxar3s
položil/-a 24.5.2018
 
upravil/-a 24.5.2018

Potrebvoval by som upravit svoju firemnu aplikaciu tak aby vsetky citlive udaje mojej firmy(textove aj binarne) boli ukladane do databazy v zasifrovanej podobe. K tymto datam by som rad pristupoval pomocou klientskej aplikacie, kde sa da prihlasit klasicky meno / heslo.

  • Aplikacia bezi na virtualnom serveri takze sa tam da pouzit prakticky hocico.
  • Heslo bude ulozene ako SHA512 hash + salt.
  • Aj textove udaje aj binarne subory mam ulozene v DB (SQL Server 2014)

V problematike pocitacovej bezpecnosti sa moc neorientujem. Takze by som potreboval vysvetlit ako zaciatocnikovi krok za krokom ako tie data zasifrovat co najbezpecnejsie, staci mi vediet princip pripadne ake nastroje, kniznice a algoritmy pouzit.

odkaz
7 OndrejMirtes
odpověděl/-a 27.5.2018

Heslo bude ulozene ako SHA512 hash + salt.

Zoufale slabý hash. https://php.earth/docs/security/passwords

Komentáře

  • harrison314 : SHA256 a SHA512 sa na hesla mozu pouzivat v pripade, ze potrebujes richlu autentifikaciu (typicky nejake API), ale salt musi byt silny a hesla sa musia casto menit. No ked sa prihlasuje user cez formular tak sa pouzivaju pomale hashovacie funkcie z rodiny PBKDF2 alebo BCrypt. 27.5.2018
  • spazef0rze : SHA-2 (tedy rodina, do které patří SHA-256 i SHA-512) se na hesla používat nemá (to platí i pro SHA-1 i SHA-3). Heslo je totiž něco co obvykle vymyslel člověk, má malý rozsah použitých znaků (typicky malá a velká písmena, číslice a pár speciálních znaků). Pro klíče, tedy něco náhodně vygenerovaného, typicky třeba 16 náhodných bajtů, nějak převedených do relativně čitelné podoby (bin2hex, Base64 apod) lze SHA-2 použít i bez vynucené změny těchto klíčů, jejich "cracknutí" nás (ani potomky potomků našich potomků) trápit nemusí. Při použití SHA-2 na hesla by bylo nutné hesla měnit tak jednou za minutu, pravděpodobně ale spíš častěji. "Síla" saltu není pro rychlost lámání hesel moc podstatná, salt brání jen tzv. narozeninovým útokům, kdy více uživatelů se stejným heslem bude mít i stejný hash (salt brání i lámání pomocí předpočítaných tabulek, ale to se dnes už moc nepoužívá). Salt je případnému útočníkovi známý a nevadí to. Prosím, nepoužívejte SHA-2 na hashování hesel (na klíče, náhodně vytvořených 12+ bajtů, klidně jo), na hesla používejte KDF (key derivation function) tedy třeba bcrypt, Argon2, scrypt, PBKDF2. 8.6.2018

Pro zobrazení všech 4 odpovědí se prosím přihlaste:

Rychlé přihlášení přes sociální sítě:

Nebo se přihlaste jménem a heslem:

Zadejte prosím svou e-mailovou adresu.
Zadejte své heslo.