Los métodos de hash de contraseña más comunes para proteger su plataforma de comercio electrónico

En 2018, el hashing de contraseñas se está volviendo más importante que nunca tanto para los propietarios de sitios web de comercio electrónico como para las personas que proporcionan aplicaciones de software comercial.

Proteger los datos de sus usuarios ya no es una sugerencia, sino un requisito, ya que los consumidores comienzan a considerar su seguridad y la protección de sus datos como una prioridad máxima.

A medida que el comercio electrónico sigue creciendo a un ritmo sólido, y se prevé que las ventas de comercio electrónico superen los $ 4 mil millones para el año 2020, proteger los datos de sus usuarios ahora es más importante que nunca.

Si un pirata informático o un actor malicioso obtiene acceso a su base de datos de contraseñas y esas contraseñas se almacenan en texto sin formato, el intruso tendrá acceso a todas las cuentas de usuario en su sitio web o aplicación.

La forma recomendada de evitar esto es mediante el hashing de contraseñas.

Trucos de comercio electrónico

Sin los protocolos de ciberseguridad adecuados, los propietarios de tiendas de comercio electrónico corren el riesgo de ponerse en riesgo a sí mismos y a sus clientes. No necesitamos mirar más allá de la piratería de Target de 2013 para comprender cómo y por qué la piratería es una amenaza importante para las plataformas de comercio electrónico.

Dicho esto, las tiendas de comercio electrónico más pequeñas corren un riesgo aún mayor que las corporaciones más grandes debido al hecho de que tienen menos protocolos de seguridad contra los ciberdelincuentes. Dos de los mayores tipos de delitos cibernéticos a los que se pueden enfrentar las tiendas de comercio electrónico más pequeñas son los ataques de phishing, en los que se atacan los datos de los usuarios, como los números de sus tarjetas de crédito y la información de inicio de sesión, y el fraude con tarjetas de crédito, en el que los piratas informáticos intentarán extraer los números de las tarjetas de crédito y luego venderlos. en el mercado negro.

Como ya puede ver, la seguridad de su tienda de comercio electrónico debe ser una de sus principales preocupaciones, y esto requerirá que emplee una serie de medidas de seguridad, incluido el hash de contraseña.

¿Qué es el hashing de contraseñas?

Para comprender cómo se utiliza actualmente el hashing de contraseñas en los sistemas de administración de contenido y las aplicaciones web, debemos definir algunas cosas clave.

Cuando hash una contraseña, básicamente convierte la contraseña en una representación codificada o 'cadena', y usas esto para evitar almacenar contraseñas como texto sin formato donde los actores malintencionados pueden encontrarlas. Hashing compara el valor con una clave de cifrado internamente para interpretar realmente la contraseña.

También se debe tener en cuenta que el hashing es una forma de seguridad criptográfica diferente del cifrado. Esto se debe a que el cifrado está diseñado para cifrar y descifrar un mensaje a través de un proceso de dos pasos, pero como acabamos de repasar, el hashing está diseñado para generar una cadena a partir de una cadena anterior en el texto, que puede variar significativamente con solo pequeñas variaciones de entrada.

Una medida de hash adicional que verá es lo que se conoce como salting, que es simplemente la adición de caracteres al final de la contraseña hash para que sea más difícil de decodificar.

Similar a la salazón es lo que se conoce como pimienta. Esto también agrega un valor adicional al final de la contraseña. Hay dos versiones diferentes de salar, la primera en la que agrega el valor al final de la contraseña como mencioné anteriormente y la segunda en la que el valor agregado a la contraseña es aleatorio en ubicación y en su valor. La ventaja de esto es que hace que los ataques de fuerza bruta y otros ataques sean muy difíciles.

Algoritmos hash utilizados actualmente

Verá una amplia variedad de métodos hash utilizados en las contraseñas según la plataforma. Esto también puede variar entre los sistemas de gestión de contenido.

Uno de los algoritmos de hash menos seguros se conoce como MD5, que se creó en 1992. Como puede imaginar a partir de un algoritmo creado en 1992, no es el algoritmo de hash más seguro. Este algoritmo utiliza valores de 128 bits, que son mucho más bajos que los estándares de cifrado tradicionales, lo que significa que no es una opción muy segura para las contraseñas y, en cambio, se usa más a menudo para requisitos menos seguros, como la descarga de archivos.

El siguiente algoritmo hash común que verá es SHA-1. Este algoritmo fue creado en 1993 por la Agencia de Seguridad Nacional de los Estados Unidos. Esperaron algunos años para publicar el algoritmo, sin embargo, a pesar de que se desarrolló solo un año después de MD5, es significativamente más seguro en ese momento. Es posible que aún vea que algunas contraseñas se codifican de esta manera, pero desafortunadamente, se decidió que este estándar ya no sería seguro.

Como una actualización de SHA1 que publicó la Agencia de Seguridad Nacional, SHA-2, se creó en 2001. Y al igual que su predecesor, no fue creado específicamente por la NSA y solo se estandarizó hace solo unos años. Sigue siendo un método viable para cifrar contraseñas de forma segura.

Otro algoritmo de hashing de contraseñas que verá es Bcrypt. El algoritmo BCrypt incluye una sal que está diseñada para proteger contra ataques de fuerza bruta.

Una de las herramientas que utiliza BCypt para dificultar los ataques de fuerza bruta es ralentizar la operación o el programa de fuerza bruta que puede estar utilizando un actor malicioso. Esto significa que si se intenta un ataque de fuerza bruta, es probable que tarde años si tiene éxito.

Similar a bCrypt es Scrypt. Este algoritmo de hashing de contraseñas también amplía la clave con defensas adicionales como sales (diseñadas para agregar datos aleatorios a una entrada de función hash para crear una salida más única), y para hacer que los ataques de fuerza bruta sean casi imposibles con una ventaja adicional de Scrypt es que está diseñado para ocupar una gran cantidad de memoria de la computadora cuando se ataca con fuerza bruta. Eso significa que tiene una medida adicional para extender el tiempo que un ataque de fuerza bruta puede tardar en tener éxito.

El último algoritmo de hashing de contraseñas que veremos en los sistemas de administración de contenido y las aplicaciones web es PBKDF2. Este algoritmo de hashing de contraseñas fue creado por RSA Laboratories y, al igual que los algoritmos mencionados anteriormente, también agrega extensiones al hash para hacer que Brute Force sea más difícil.

Almacenamiento de contraseñas cifradas

Después del proceso de hashing, y después de que cualquier algoritmo que se esté utilizando haga su trabajo, la salida de la contraseña será una representación hexadecimal codificada de sí misma.

Lo que eso significa es que será una serie muy larga de letras y números lo que almacenará el sitio web o la aplicación en caso de que un pirata informático obtenga acceso a esa información.

Entonces, en otras palabras, si un pirata informático ingresa a su sitio web de comercio electrónico y encuentra una base de datos de contraseñas de usuario, entonces no podrá usarlas para iniciar sesión directamente en la cuenta de un usuario.

Más bien, él o ella tendría que interpretar las letras y números aleatorios para averiguar cuál sería realmente su contraseña.

Múltiples contraseñas de sitios web

A veces, se encontrará con situaciones en las que los usuarios de su tienda de comercio electrónico pueden necesitar compartir contraseñas en diferentes servicios.

Un ejemplo de esto podría ser que tenga una compilación separada de su aplicación para dispositivos móviles que quizás tenga una tecnología diferente o esté en una plataforma diferente en comparación con su versión basada en la web. En este caso, necesitaría sincronizar contraseñas hash en múltiples plataformas, lo que puede ser muy complicado.

Afortunadamente, hay empresas que pueden ayudar con la sincronización multiplataforma de contraseñas hash. Un ejemplo sería FoxyCart, que es un servicio que permite la sincronización de contraseñas hash de una aplicación a otra.

Envolviendolo

Además de Foxy, hay muchas otras plataformas populares de comercio electrónico para elegir. Independientemente de cuál use, mantener su tienda de comercio electrónico en línea segura antes debe ser una prioridad máxima , y ​​el hash de contraseña es una de las mejores y también una de las medidas de seguridad más ignoradas que puede emplear hoy.

Cuanto más correctamente codificada sea una contraseña, y si está utilizando los estándares más nuevos como el anillo de sal y pimienta, entonces, básicamente, la única forma en que un actor malicioso puede obtener la contraseña de alguien sería a través de un ataque de fuerza bruta.

Y con los métodos que mencionamos anteriormente y los algoritmos utilizados por varios sistemas de administración de contenido, incluso los ataques de fuerza bruta se están volviendo cada vez más difíciles. Es decir, solo si implementa estas herramientas correctamente.