Лучшие практики хранения логинов/паролей/токенов?

Question

Сергей Наломенко @nalomenko

Руководитель отдела разработок в студии «Lava»

Информационная безопасность

Лучшие практики хранения логинов/паролей/токенов?

Уважаемое сообщество, подскажите, какие есть лучшие практики хранения пользовательских доступов (логинов, паролей, токенов и т. п.), которые используются, как пример, для доступа к какому-либо удалённому API и т. п.

Конфигурационные файлы не подходят (поскольку пользователь — динамическая запись в БД). Хеширование паролей тоже не подходит, поскольку в дальнейшем они используются для аутентификации в каком-либо удалённом API

Вопрос задан более трёх лет назад
184 просмотра

6 комментариев

Подписаться 3 Средний 6 комментариев

АртемЪ @Jump

Да как удобно так и храните.

Хеширование паролей тоже не подходит
Каким боком хэширование вообще тут затесалось? Хэширование исключает хранение. Либо вы хэшируете, либо храните.

Написано более трёх лет назад
Рональд Макдональд @Zoominger

АртемЪ,

Хэширование исключает хранение.

Судя по всему, у нас тут очередной переворот в мире IT. Linux, хранящий хэшированные пароли пользователей, срочно переписывает код ядра, 99%-веб-сервисов в мире, хранящих хэши паролей своих юзеров в БД, срочно переосмысляет эту архитектуру из-за недальновидности своих инженеров, не знавших, что хэш - это не для хранения.

Написано более трёх лет назад
АртемЪ @Jump

Рональд Макдональд, Не понял - в чем проблема хранить хэш? Так делают большинство, это общепринятая практика.
С чего вы взяли что хэш не для хранения?

Написано более трёх лет назад
acwartz @acwartz

АртемЪ, Рональд Макдональд, зачем хранить хэш? Его api и сторонние обвязки не понимают, им нужен RAW. Как хранить RAW?

Написано более трёх лет назад
Рональд Макдональд @Zoominger

АртемЪ,
Хэширование исключает хранение.

Не понял - в чем проблема хранить хэш?

Всё, я сломался.

Написано более трёх лет назад
АртемЪ @Jump

Рональд Макдональд, Вопрос задан о хранении пароля.
Если вы хэшировали пароль - хранят только хэш, пароль не хранят.
Поэтому хэширование исключает хранение пароля, иначе какой смысл хэшировать?

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Яндекс Практикум

Специалист по информационной безопасности: веб-пентест

6 месяцев

Далее
Merion Academy

Онлайн-курс по кибербезопасности

2 месяца

Далее
Merion Academy

Этичный хакинг

4 месяца

Далее

Пригласить эксперта

Ответы на вопрос 2

Комментировать

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Информационная безопасность

Простой
С чего можно начать самостоятельное обучение белому хакингу?
- 1 подписчик
- 18 часов назад
- 104 просмотра
1

ответ
Информационная безопасность

+1 ещё

Простой
Как защитить Whatsapp?
- 1 подписчик
- 30 окт.
- 275 просмотров
1

ответ
Информационная безопасность

+1 ещё

Средний
У всех плохо работают HackTheBox и TryHackMe?
- 3 подписчика
- 29 окт.
- 305 просмотров
1

ответ
Информационная безопасность

Простой
Как начать карьеру в SOC?
- 1 подписчик
- 23 окт.
- 135 просмотров
0

ответов
Информационная безопасность

+1 ещё

Простой
Безопасно ли использовать OpenSource продукты от крупных корпораций?
- 3 подписчика
- 17 окт.
- 425 просмотров
7

ответов
Информационная безопасность

+1 ещё

Простой
Каким образом можно зашифровать файлы, или может есть готовое решение, или облачное решение?
- 3 подписчика
- 16 окт.
- 323 просмотра
4

ответа
Информационная безопасность

Простой
Насколько безопасен проброс порта?
- 1 подписчик
- 01 окт.
- 296 просмотров
5

ответов
Информационная безопасность

Средний
Есть ли SD-карты с аппаратным «на лету» ассиметричным шифрованием определённых файлов?
- 1 подписчик
- 30 сент.
- 201 просмотр
2

ответа
Информационная безопасность

+1 ещё

Простой
Почему lsass.exe нагружает сетевую активность?
- 4 подписчика
- 22 сент.
- 562 просмотра
1

ответ
Информационная безопасность

+1 ещё

Средний
Зачем whatsapp массово пытается подключаться по ssh?
- 16 подписчиков
- 10 сент.
- 6308 просмотров
6

ответов
Показать ещё Загружается…

Разработчик WebRTC-сервисов на Go в видеоплатформу

Яндекс • Москва

от 300 000 до 490 000 ₽

Intern QA

МЕДИАКОД

от 30 000 до 50 000 ₽

Ручной тестировщик (QA Manual)

SUPA

от 80 000 ₽

Да как удобно так и храните.

Хеширование паролей тоже не подходит
Каким боком хэширование вообще тут затесалось? Хэширование исключает хранение. Либо вы хэшируете, либо храните.
АртемЪ,

Хэширование исключает хранение.

Судя по всему, у нас тут очередной переворот в мире IT. Linux, хранящий хэшированные пароли пользователей, срочно переписывает код ядра, 99%-веб-сервисов в мире, хранящих хэши паролей своих юзеров в БД, срочно переосмысляет эту архитектуру из-за недальновидности своих инженеров, не знавших, что хэш - это не для хранения.
Рональд Макдональд, Не понял - в чем проблема хранить хэш? Так делают большинство, это общепринятая практика.
С чего вы взяли что хэш не для хранения?
АртемЪ, Рональд Макдональд, зачем хранить хэш? Его api и сторонние обвязки не понимают, им нужен RAW. Как хранить RAW?
АртемЪ,
Хэширование исключает хранение.

Не понял - в чем проблема хранить хэш?

Всё, я сломался.
Рональд Макдональд, Вопрос задан о хранении пароля.
Если вы хэшировали пароль - хранят только хэш, пароль не хранят.
Поэтому хэширование исключает хранение пароля, иначе какой смысл хэшировать?

Answer 1 · 2021-06-25 16:28:37

Saboteur @saboteur_kiev Куратор тега Информационная безопасность

software engineer

(поскольку пользователь — динамическая запись в БД)

Так в базе и храните.
шифруйте каким-нить AES256CBC и храните в виде base64 строки

Ответ написан более трёх лет назад

Комментировать

Answer 2 · 2021-06-25 19:01:23

Рекомендуется использовать хранилища секретов наподобие Hashicorp Vault, хотя это и нетривиально:
https://habr.com/ru/post/306812/
https://habr.com/ru/post/536694/

Лучшие практики хранения логинов/паролей/токенов?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт