Дек. 182006
 

Скорошната новина, че е откраднат бекъп на БД на известен сайт и признанието, че в този бекъп има потребителски пароли в чист текстов вид за пореден път събужда в мен спомена за JABORAC.
Всеки, който е чел поне малко за сигурността знае, че не трябва да се пазят чувствителни данни (пароли, номера на кредитни карти, лични данни) в чист вид. И това не е въпрос на дизайн – това си е постулат. И въпреки това все още има много системи, които го правят. Много. Не искам да споменавам имена, те си знаят.
Как са го допуснали хората от reddit? Те, по принцип, са известни като добри програмисти. Не са го направили от глупост. Не. Те са го направили за удобство.
Сигурността на данните винаги е компромис с удобството. Да използваш по-дълга парола е неудобно. Удобно е да влизаш автоматично в сайта/програмата/windows-a, а не да пишеш всеки път username/pass. Удобно е да получиш паролата, ако си я забравил.
Но не е сигурно.
Толкова е лесно да се вземат мерки, особено за потребителите на Oracle! Пакетите DBMS_OBFUSCATION_TOOLKIT и DBMS_CRYPTO (последният е новост в Oracle 10g) имат повече от достатъчно функции. Дизайна на една достатъчно сигурна система е обсъждан къде ли не. Достатъчно е само едно „посоляване” (salting) и хеширане на паролата и всички опити за разбиването са де факто обречени. Не е необходимо разработчиците да имплементират някакви тежки алгоритми и процедури – всичко е на готово.
Само трябва да се вземат предвид елементарни правила при дизайна на БД (същото важи и за самото приложение, особено ако е уеб-базирано). Трябва малко да се помисли за сигурността.
Така че, ако някой още пази паролите в чист вид или ключа за криптиране е в БД, да се замисли. Пак. Моля.

 Posted by at 14:47

Sorry, the comment form is closed at this time.