Articles of Criptografia de

Quando eu precisaria de um SecureString no .net?

Estou tentando aumentar o propósito do SecureString do .NET. Do MSDN: Uma instância da class System.String é imutável e, quando não é mais necessária, não pode ser agendada programaticamente para garbage collection; ou seja, a instância é somente leitura depois de criada e não é possível prever quando a instância será excluída da memory do […]

Método preferido de armazenar senhas no database

Qual é o seu método preferido / tipo de dados para armazenar senhas em um database (preferencialmente SQL Server 2005). A maneira que tenho feito isso em vários de nossos aplicativos é primeiro usar as bibliotecas de criptografia .NET e armazená-las no database como binário (16). Esse é o método preferido ou devo usar um […]

Por que a segurança através da obscuridade é uma má ideia?

Recentemente, deparei com um sistema em que todas as conexões de database eram gerenciadas por rotinas obscurecidas de várias maneiras, incluindo codificação de base 64, md5sums e várias outras técnicas. É só eu, ou isso é exagero? Quais são as alternativas?

Os headers HTTPS estão criptografados?

Ao enviar dados por HTTPS, sei que o conteúdo está criptografado, mas ouço respostas confusas sobre se os headers estão criptografados ou quanto do header está criptografado. Quanto dos headers HTTPS são criptografados? Incluindo URLs de solicitação GET / POST, cookies etc.

Criptografando / Hash de senhas de texto simples no database

Eu herdei um aplicativo da web que acabei de descobrir armazena mais de 300.000 nomes de usuário / senhas em texto sem formatação em um database do SQL Server. Eu percebo que isso é uma coisa muito ruim. Sabendo que terei que atualizar os processos de login e atualização de senha para criptografar / descriptografar, […]

SHA512 vs. Blowfish e Bcrypt

Eu estou olhando para algoritmos de hash, mas não consegui encontrar uma resposta. Bcrypt usa Blowfish Blowfish é melhor que MD5 Q: mas o Blowfish é melhor que o SHA512? Obrigado.. Atualizar: Eu quero esclarecer que eu entendo a diferença entre hashing e criptografia. O que me levou a fazer a pergunta desta forma é […]

Sal não random para hashes de senha

UPDATE: Eu recentemente aprendi com essa questão que em toda a discussão abaixo, eu (e tenho certeza que os outros também o fizeram) foi um pouco confuso: O que eu continuo chamando de tabela do arco-íris é na verdade chamado de tabela hash. As tabelas do arco-íris são criaturas mais complexas e, na verdade, são […]

A necessidade de esconder o sal para um hash

No trabalho, temos duas teorias concorrentes para sais. Os produtos em que trabalho usam algo como um nome de usuário ou número de telefone para salgar o hash. Essencialmente, algo diferente para cada usuário, mas está prontamente disponível para nós. O outro produto gera aleatoriamente um salt para cada usuário e muda sempre que o […]

Criptografar senha em arquivos de configuração?

Eu tenho um programa que lê informações do servidor de um arquivo de configuração e gostaria de criptografar a senha nessa configuração que pode ser lida pelo meu programa e descriptografada. Requisitos: Criptografar senha em texto simples para ser armazenada no arquivo Descriptografar a senha criptografada do arquivo do meu programa Quaisquer recomendações sobre como […]

Que tipo de dados usar para o campo de senha com hash e qual o tamanho?

Não tenho certeza de como funciona o hashing de senha (implementarei isso mais tarde), mas preciso criar um esquema de database agora. Eu estou pensando em limitar senhas para 4-20 caracteres, mas como eu entendo depois de criptografar hash string será de comprimento diferente. Então, como armazenar essas senhas no database?