@DZPM@gallir En realidad lo que proponía era también en el sentido de mitigar daños cuando la BBDD se ha filtrado. El segundo salt podría estar incrustado directamente en el código fuente (mala práctica) o tomarse a partir de archivos de configuración. Seguramente en rendimiento no merece la pena, pero quería plantear el escenario de que el atacante sólo tuviera acceso a una parte del salt.
@gallir@DZPM Tengo dudas sobre la ventaja de guardar el salt en la BBDD de usuarios. A ver si me explico:
Partiendo de la base de que la BBDD ha sido comprometida, entiendo que haber hecho el hash con salt hace mucho más difícil el ataque por fuerza bruta ya que no puede hacer la búsqueda inversa de hashes. Sin embargo, al disponer de la BBDD también se dispone del salt personalizado de cada usuario así que teóricamente es posible hacer un ataque de fuerza bruta para un usuario concreto.
Es decir, se evita una búsqueda inversa y se dificulta mucho el ataque de fuerza bruta para un usuario concreto, pero podría hacerse, al menos en teoría, desconozco si el tiempo práctico lo hace imposible.
¿No sería mejor guardar parte del salt fuera de la BBDD? Es decir, un salt único para todo el mundo es poco seguro porque dos contraseñas iguales generarían dos hashes idénticos pero ¿hacer una combinación entre el salt de la BBDD y un valor que salga de otro origen? ¿No sería mejor?
@qemi Como no me apetecía registrarme ni acceder desde ninguna integración te dejo el comentario a tu domotización por aquí:
Como pides ideas te voy a dar una: deberías poner los relés de las luces conmutados con los interruptores normales de la vivienda para poder encender y apagar con independencia de la interfaz. En caso contrario siempre tienes que pensar cómo has dejado los interruptores para que el remoto funcione o lo mismo en sentido inverso, pero si los conmutas pulses lo que pulses la luz cambia de estado.
Enhorabuena por tu trabajo porque yo tengo pensado hacer algo parecido incluyendo un termostato casero hecho con Arduino pero ya se sabe que el papel y la imaginación lo aguantan todo y después hay que sacar tiempo y ganas para llevarlo a cabo.
Ya que estoy, adjunto imagen donde se ve una pérdida en la navegación por el sitio. Una vez que pasas a las notas no hay vuelta atrás que no implique varios clics. ¿Intencionado?
Sería interesante poder ordenar los comentarios y notas (propias y de amigos, favoritos...) por más votados, más contestados, etc. y no sólo por orden cronológico.
@gallir Creo que el blackout debería hacerse. Me parece que hay que darle la relevancia que se merece puesto que el mundo entero depende en esta materia de lo que hace y dice EEUU. También pienso que esta tentativa debería servir al resto del mundo para ponerse las pilas. Aunque desconocemos cómo acabará, este es un aviso que no deberíamos desaprovechar para plantear la dependencia a la que estamos sometidos.
Partiendo de la base de que la BBDD ha sido comprometida, entiendo que haber hecho el hash con salt hace mucho más difícil el ataque por fuerza bruta ya que no puede hacer la búsqueda inversa de hashes. Sin embargo, al disponer de la BBDD también se dispone del salt personalizado de cada usuario así que teóricamente es posible hacer un ataque de fuerza bruta para un usuario concreto.
Es decir, se evita una búsqueda inversa y se dificulta mucho el ataque de fuerza bruta para un usuario concreto, pero podría hacerse, al menos en teoría, desconozco si el tiempo práctico lo hace imposible.
¿No sería mejor guardar parte del salt fuera de la BBDD? Es decir, un salt único para todo el mundo es poco seguro porque dos contraseñas iguales generarían dos hashes idénticos pero ¿hacer una combinación entre el salt de la BBDD y un valor que salga de otro origen? ¿No sería mejor?
Como pides ideas te voy a dar una: deberías poner los relés de las luces conmutados con los interruptores normales de la vivienda para poder encender y apagar con independencia de la interfaz. En caso contrario siempre tienes que pensar cómo has dejado los interruptores para que el remoto funcione o lo mismo en sentido inverso, pero si los conmutas pulses lo que pulses la luz cambia de estado.
Enhorabuena por tu trabajo porque yo tengo pensado hacer algo parecido incluyendo un termostato casero hecho con Arduino pero ya se sabe que el papel y la imaginación lo aguantan todo y después hay que sacar tiempo y ganas para llevarlo a cabo.
Ya que estoy, adjunto imagen donde se ve una pérdida en la navegación por el sitio. Una vez que pasas a las notas no hay vuelta atrás que no implique varios clics. ¿Intencionado?
Sería interesante poder ordenar los comentarios y notas (propias y de amigos, favoritos...) por más votados, más contestados, etc. y no sólo por orden cronológico.