Jak ukládáme vaše hesla?

Bezpečnost dat a soukromí našich uživatelů je pro nás velkou prioritou. Hesla nejsou nikdy ukládána v čitelném tvaru, jsou tak u nás v bezpečí.


Během registrace na WebAlert.cz jsou uživatelé upozorněni na sílu zadávaného hesla pomocí JavaScript knihovny zxcvbn od Dropboxu. Indikátor síly hesla má pouze informativní charakter, výsledek se nikde neukládá.

Rozhodli jsme se nevynucovat silná hesla, uživatelé tak mohou použít libovolný tvar (velká a malá písmena, čísla, speciální znaky) podle svého uvážení. Jediný požadavek je minimální délka 10 znaků a maximální délka 72 znaků.

Všechna hesla jsou hashovaná algoritmem bcrypt (COST=13) spolu s pseudo-náhodným saltem. Ukázka výsledného hashe uloženého v databázi:

$2a$13$d0Zq1QodM02k5HuExDNvqOP1LjGNSwN4viip5muC1XR/NTTUjSJIO

Při zapomenutí hesla je nutné využít funkci pro obnovení hesla. Na funkci "Zapomenuté heslo" se stále pracuje ...

Momentálně je bcrypt stále jedním z doporučovaných bezpečných algoritmů pro ukládání hesel, podle Moorova zákona by ale bylo vhodné postupně zvyšovat cost faktor, do budoucna bude pravděpodobně vhodnější přejít na Argon2.

https://xkcd.com/936/


https://en.wikipedia.org/wiki/Bcrypt

https://cs.wikipedia.org/wiki/Bcrypt

https://metacpan.org/pod/Digest::Bcrypt

https://metacpan.org/pod/Crypt::Eksblowfish::Bcrypt

https://metacpan.org/pod/Dancer2::Plugin::Passphrase

https://www.usenix.org/legacy/events/usenix99/provos/provos_html/node4.html

https://security.stackexchange.com/questions/39849/does-bcrypt-have-a-maximum-password-length

https://security.stackexchange.com/questions/152430/what-maximum-password-length-to-choose-when-using-bcrypt/152438

https://stackoverflow.com/questions/16594613/how-to-hash-long-passwords-72-characters-with-blowfish/16597402#16597402
Jak ukládáme vaše hesla? Jak ukládáme vaše hesla? Reviewed by Kamil Vavra on července 17, 2018 Rating: 5

Žádné komentáře:

Používá technologii služby Blogger.