Hashing y cifrado de contraseñas: ¿cuál es la diferencia?
A menudo se confunden el hashing y el cifrado. Para las contraseñas, el hash es el enfoque correcto porque el servidor no debería poder recuperar la contraseña original.
Por qué los términos a menudo se confunden
En la vida cotidiana, casi todo se describe como cifrado. Pero hay una diferencia importante con las contraseñas: no es necesario que una contraseña vuelva a ser legible.
El servidor solo necesita verificar si la entrada es correcta. Esto es exactamente para lo que sirve el hashing.
La diferencia práctica
- El cifrado es reversible una vez que la clave está presente.
- El hash es para comparar y no pretende restaurar el original.
- Para las contraseñas, un método moderno de hash de contraseñas con sal es la dirección correcta.
Por qué esto es crucial para las filtraciones de datos
Cuando un servicio almacena contraseñas de forma reversible, las filtraciones se vuelven inmediatamente más peligrosas. Entonces los atacantes tienen que invertir menos esfuerzo en la evaluación.
Incluso con hash, una filtración sigue siendo grave, pero la protección contra la divulgación directa es significativamente mejor si la implementación es limpia.
Lista rápida
Las acciones más importantes de esta guía, resumidas.
- Si desarrolla sus propias contraseñas, nunca las guarde de forma reversible.
- Al realizar evaluaciones de seguridad, pregunte siempre sobre el método de hash utilizado.
- Como usuario, evite la reutilización porque nunca se pueden descartar por completo las malas prácticas del servidor.
Preguntas frecuentes
Crea una contraseña fuerte ahora
Usa el generador de Zenkey.click para crear al instante una contraseña aleatoria fuerte o una frase de paso segura.
Qué son la sal y el pepper en los hashes de contraseñas
Si quieres seguir leyendo, esta es la siguiente guía recomendada.
La sal y el pepper refuerzan la protección de los hashes de contraseñas, dificultan los ataques masivos y mejoran la resistencia del sistema ante una filtración.