bytes.cat

La wiki d'FP d'informàtica

Eines de l'usuari

Eines del lloc


Barra lateral

ASIX Administració de Sistemes Informàtics i Xarxes
Tots els mòduls del cicle
MP01 Implantació de sistemes operatius
Totes les UFs del modul
MP02 Gestió de bases de dades
Totes les UFs del modul
MP03 Programació bàsica
Totes les UFs del modul
MP04 Llenguatges de marques i sistemes de gestió d'informació
Totes les UFs del modul
MP05 Fonaments de maquinari
Totes les UFs del modul
MP06 Administració de sistemes operatius
Totes les UFs del modul
MP07 Planificació i administració de xarxes
Totes les UFs del modul
MP08 Serveis de xarxa i Internet
Totes les UFs del modul
MP09 Implantació d'aplicacions web
Totes les UFs del modul
MP10 Administració de sistemes gestors de bases de dades
Totes les UFs del modul
MP11 Seguretat i alta disponibilitat
Totes les UFs del modul
MP12 Formació i orientació laboral
Totes les UFs del modul
MP13 Empresa i iniciativa emprenedora
Totes les UFs del modul
MP14 Projecte
Totes les UFs del modul
DAM Desenvolupament d’aplicacions multiplataforma
Tots els mòduls del cicle
MP01 Sistemes informàtics
Totes les UFs del modul
MP02 Bases de dades
Totes les UFs del modul
MP03 Programació bàsica
Totes les UFs del modul
MP04 Llenguatges de marques i sistemes de gestió d'informació
Totes les UFs del modul
MP05 Entorns de desenvolupament
Totes les UFs del modul
MP06 Accés a dades
Totes les UFs del modul
MP07 Desenvolupament d’interfícies
Totes les UFs del modul
MP08 Programació multimèdia i dispositius mòbils
Totes les UFs del modul
MP09 Programació de serveis i processos
Totes les UFs del modul
MP10 Sistemes de gestió empresarial
Totes les UFs del modul
MP11 Formació i orientació laboral
Totes les UFs del modul
MP12 Empresa i iniciativa emprenedora
Totes les UFs del modul
MP13 Projecte de síntesi
Totes les UFs del modul
MPDual Mòdul Dual / Projecte
DAW Desenvolupament d’aplicacions web
Tots els mòduls del cicle
MP01 Sistemes informàtics
Totes les UFs del modul
MP02 Bases de dades
Totes les UFs del modul
MP03 Programació
Totes les UFs del modul
MP04 Llenguatge de marques i sistemes de gestió d’informació
Totes les UFs del modul
MP05 Entorns de desenvolupament
Totes les UFs del modul
MP06 Desenvolupament web en entorn client
Totes les UFs del modul
MP07 Desenvolupament web en entorn servidor
Totes les UFs del modul
MP08 Desplegament d'aplicacions web
Totes les UFs del modul
MP09 Disseny d'interfícies web
Totes les UFs del modul
MP10 Formació i Orientació Laboral
Totes les UFs del modul
MP11 Empresa i iniciativa emprenedora
Totes les UFs del modul
MP12 Projecte de síntesi
Totes les UFs del modul
SMX Sistemes Microinformàtics i Xarxes
Tots els mòduls del cicle
MP01 Muntatge i manteniment d’equips
Totes les UFs del modul
MP02 Sistemes Operatius Monolloc
Totes les UFs del modul
MP03 Aplicacions ofimàtiques
Totes les UFs del modul
MP04 Sistemes operatius en xarxa
Totes les UFs del modul
MP05 Xarxes locals
Totes les UFs del modul
MP06 Seguretat informàtica
Totes les UFs del modul
MP07 Serveis de xarxa
Totes les UFs del modul
MP08 Aplicacions Web
Totes les UFs del modul
MP09 Formació i Orientació Laboral
Totes les UFs del modul
MP10 Empresa i iniciativa emprenedora
Totes les UFs del modul
MP11 Anglès
Totes les UFs del modul
MP12 Síntesi
Totes les UFs del modul
CETI Ciberseguretat en Entorns de les Tecnologies de la Informació
Tots els mòduls del cicle
CiberOT Ciberseguretat en Entorns d'Operació
Tots els mòduls del cicle
contrasenyes_segures

Guardar contrasenyes de manera segura


LOPD (Ley Orgánica de protección de Datos)

Enllaç al BOE que regula la gestió de contrasenyes, i diu:

Artículo 93. Identificación y autenticación. … 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.


Contrasenyes ininteligibles

Com que la llei ens diu que no es pot guardar la contrasenya tal com l’escriu l’usuari, s’ha de guardar un codi que representa a la contrasenya però que fa impossible saber quin valor té realment. Això es fa amb una funció anomenada HASH.

«Contrasenya en plà» > Funció HASH > «dc647eb645e15858»

El què es fa és comparar el HASH de la contrasenya real amb el de la contrasenya que escriu l’usuari, si coincideixen, és que han escrit la contrasenya correcte.

Tradicionalment el HASH que s’ha fet servir és MD5, però està en desús perquè s’ha demostrat que no és fiable 100%


HASH vs Encriptació

Hash, és un camí d’una direcció: pretén fer imposible recuperar el valor original a partir del valor generat.

Encriptació, és un camí de dues direccions: s’ha de poder recuperar el text original a partir del valor encriptat


Millorar la seguretat, Salting & Peppering

Salting, posar-hi sal:

Es tracta d’una cadena de text generada aleatòriament, que s’afegeix a la contrasenya original.

Protegeix als usuaris perquè evita que els atacants puguin provar contrasenyes habituals i comparar-les amb el HASH generat.

Peppering, posar-hi pebre:

Es tracta d’una cadena de text generada aleatòriament, que fa de clau privada i permet encriptar el HASH.

Protegeix als usuaris perquè encara que es tingui accés a la base de dades, no es pot desencriptar HASH sense aquesta clau privada.


Quines dades cal guardar?

Cada usuari té associades les següents dades:

Salt:

- Cadena de text generada aleatòriament al crear l’usuari

- Està en una taula i base de dades diferent a la taula d’usuaris i també la de “Pepper”

Pepper:

- Cadena de text generada aleatòriament al crear l’usuari

- Està en una taula i base de dades diferent a la taula d’usuaris i també la de “Salt”

Hash:

- Cadena de text generada segons la contrasenya, la Salt i la Pepper

- Es guarda a la taula d’usuaris

Nota: Amb aquest mètode la contrasenya de cada usuari NO es guarda mai enlloc


On es guarden les dades?

Les dades es guarden en 3 bases de dades diferents:

- Base de dades d’usuaris, valors Hash

- Base de dades de “Salt”, valors Salt

- Base de dades de “Pepper”, valors Pepper

Nota: Idealment, cada base de dades està en un servidor (màquina) diferent


Argon2 i Password4J (alternativa al antic MD5)

Argon2 és un algorisme dedicat únicament a l’encriptació de contrasenyes.

Es pot configurar per evitar atacs més o menys sofisticats, i té en compte els atacs amb GPU més actuals.

Va guanyar la competició mundial “Password Hashing” al 2015, i des d’aleshores és l’algorisme recomanat.

Password4J és una llibreria Java, permet generar HASH amb Argon2 per després, poder validar contrasenyes de manera segura.


Password4J, llibreries i configuració

Per fer anar “Password4J” calen les següents llibreries:

- password4j-1.6.2.jar

- slf4j-simple-1.6.1.jar

- slf4j.api-1.6.1.jar

I l’arxiu de configuració “psw4j.properties” amb el següent contingut:

### Argon2
hash.argon2.memory=4096
hash.argon2.iterations=20
hash.argon2.length=128
hash.argon2.parallelism=4
hash.argon2.type=id
hash.argon2.version=19

global.pepper=FinePepper
global.banner=false

Exemple de generar Hash i validar contrasenyes

import com.password4j.Password;
 
 
class Main {
    public static void main(String[] args) {
 
        // Contrasenya que volem definir o validar
        String pwd0 = "hola";
        String pwd1 = "adeu";
 
        // Valor "Salt" que es genera automàticament
        // al crear l'usuari en una taula i base de dades
        // diferent a la que conté les dades d'usuaris
        String pwdSalt = "ac4re21";
 
        // Valor "Pepper" que es genera automàticament
        // al crear l'usuari en una taula i base de dades
        // diferent a la que conté les dades d'usuaris
        String pwdPepper = "pepperCool";
 
        // Generar el HASH, quan l'usuari defineix una 
        // contrasenya es guarda a la taula d'usuaris
        // enlloc de la contrasenya "en clar"
        // Per generar el HASH cal:
        // - La contrasenya que defineix l'usuari
        // - El salt d'aquest usuari
        // - El pepper d'aquest usuari
        String hash = Password.hash(pwd0).addSalt(pwdSalt).addPepper(pwdPepper).withArgon2().getResult();
        System.out.println("Hash generat: " + hash);
 
        // Imaginem que guardem el valor anterior a 
        // la base de dades i que quan el llegim el 
        // guardem a la variable "pwdHash"
        String pwdHash = "$argon2id$v=19$m=4096,t=20,p=4$YWM0cmUyMQ$+Tr/FOiVJSR2nJqJ3eC9nHsngWdNf+tFEHqmKiCO6b3Qafq+P6bs1FPMhxx9mwCSCL0zpWPsDpXBAjvZYjQarOhWOdHeNRFALM//Q4CJNHytZxi9x8yxpHENLqlwdQrpW3WKolHaxnxIEWfY6yKZl2DFPedZYLEoInpMsP/RRa4";
 
        // Per validar si la contrasenya és correcta o no:
        // - La contrasenya que es vol validar
        // - El hash que correspon a aquest usuari
        // - El salt d'aquest usuari
        // - El pepper d'aquest usuari
        boolean verified0 = Password.check(pwd0, pwdHash).addSalt(pwdSalt).addPepper(pwdPepper).withArgon2();
        boolean verified1 = Password.check(pwd1, pwdHash).addSalt(pwdSalt).addPepper(pwdPepper).withArgon2();
 
        // Mostrar si el codi és vàlid per aquesta contrasenya
        System.out.println("Password '" + pwd0 + "' is " + (verified0 ? "valid" : "invalid"));
        System.out.println("Password '" + pwd1 + "' is " + (verified1 ? "valid" : "invalid"));
    }
}
contrasenyes_segures.txt · Darrera modificació: 2022/11/16 15:47 per albert_palacios_jimenez