Zabezpieczanie haseł DB

18

Patrząc na strukturę większości witryn opartych na PHP / MySQL, które widziałem, wydaje się, że nie jest strasznie trudno rozpoznać hasło do bazy danych, jeśli trochę kopiesz, ponieważ zawsze jest plik instalacyjny lub konfiguracyjny, w którym przechowywane są informacje do logowania do DB. Jakie są inne opcje poza podstawowymi środkami ostrożności, aby upewnić się, że uprawnienia mojej bazy danych są odpowiednio ograniczone w przypadku zdalnych żądań, które mógłbym wdrożyć we własnych projektach w celu ochrony tych informacji?

mysql security

— Kaji
źródło

1

Aby to wyjaśnić - pytasz o przechowywanie poświadczeń w celu zalogowania się do bazy danych ze strony internetowej, a nie o to, jak prawidłowo przechowywać hasła dla użytkowników strony w bazie danych, prawda?

— Joe

Poprawny; o to mi chodzi.

— Kaji

10

Nie jest to bezpośrednia odpowiedź na temat przechowywania haseł, ale generalnie używam co najmniej dwóch połączeń z bazą danych podczas tworzenia aplikacji internetowych - jedno z nich wykorzystuje 99% czasu na działania związane z użytkownikami, z ograniczonymi uprawnieniami, a drugie służy do funkcji administratora (usuń użytkowników itp.).

W kilku przypadkach, w których instaluję pakiet innej osoby, zainstaluję dwie instancje ... instancję publiczną, która ma dostęp tylko do bazy danych, aby wykonywać ogólne czynności związane z typem użytkownika, a drugą instancję ograniczoną do adresu IP moja lokalna podsieć (być może nawet na innym komputerze), która musi być używana do wszelkich działań typu „admin”. Żaden z nich nie ma dostępu do modyfikowania tabel itp. Wolę jednak korzystać z rodzimych narzędzi bazy danych, niż pozwolić aplikacji internetowej na uruchamianie własnych zadań aktualizacji, które nie zostały jeszcze sprawdzone.

Możesz jednak pójść o krok dalej i dodać więcej połączeń specjalnie dla danych zadań ... więc zadania tworzenia i zarządzania hasłami przechodzą przez użytkownika, który ma dodatkowe uprawnienia w tabelach użytkowników, logowanie ma uprawnienia do uwierzytelniania bazy danych i niewiele więcej itd.

W ten sposób, jeśli dojdzie do ataku polegającego na wstrzyknięciu sql, na większości stron internetowych nie jest w stanie zrobić nic znaczącego - nie widzi skrótów haseł, nie może dodać nowego użytkownika administratora (nie to, że byłby w stanie to zrobić cokolwiek zresztą), itp. To nadal nie pomoże, jeśli uda im się zdobyć powłokę na twoim komputerze, ale spowolni je.

— Joe
źródło

1

Robimy coś podobnego. Generalnie jednak tworzymy nowe konto dla każdego użytkownika / aplikacji bazy danych, zamiast robić to według funkcji. Rozwiązuje to dla nas dwa problemy - 1) możemy rozróżnić użycie bazy danych w narzędziach takich jak OEM (tzn. Możemy zobaczyć, kto wbija bazę danych w ziarnistość) i 2) możemy indywidualnie dostosować to, co każdy użytkownik widzi i do którego ma dostęp w ramach Baza danych.

— ScottCher,

7

Używaj haseł jednorazowych , Kerberos , LDAP lub czegokolwiek innego do przechowywania danych konta i uwierzytelniania / autoryzacji użytkowników. Usługi katalogowe są dobrym sposobem do przechowywania informacji o użytkowniku i używania ich jako zaplecza danych konta.

— Yasir Arsanukaev
źródło

4

Jestem wielkim fanem używania uwierzytelniania „Ident” PostgreSQL na lokalnych gniazdach, kiedy tylko mogę. W ten sposób lokalni użytkownicy są mapowani bezpośrednio do użytkowników komputerów lokalnych w systemie Unix / Windows i nie muszę się martwić o przechowywanie haseł. Jednak nie sądzę, że jest to jeszcze opcja w MySQL.

Tam, gdzie baza danych i serwer WWW znajdują się na dwóch osobnych komputerach, używam haseł MD5 przez SSL: jeśli wrogi ma dostęp do mojego serwera frontendowego, to tylko kwestia czasu, zanim zorientuje się, jak komunikuje się z bazą danych.

— Gauraw
źródło

3

Jeśli korzystasz z .NET Framework, możesz zajrzeć za pomocą zaszyfrowanych parametrów połączenia. Nie wiem, czy coś takiego jest możliwe w innych językach / ramach, ale byłoby to kolejnym zabezpieczeniem, aby upewnić się, że twoje połączenia nie zostaną naruszone.

Oprócz korzystania z zaszyfrowanych parametrów połączenia, używanie LDAP / Kerberos / Active Directory będzie najbezpieczniejszą opcją.

— Jeremiasz Peschka
źródło

3

Jeśli twoje hasła są zapisane jako zwykły tekst, użyj skrótów (MD5, SHA), Luke!

— Yasir Arsanukaev
źródło

OP nie pyta o przechowywanie haseł użytkowników. Ale tak, z pewnością zaszyfruj hasła użytkownika, ale nigdy nie używaj do tego użytkownika MD5 lub rodziny SHA! Zastosowanie bcrypt lub PBKDF2. W przeciwnym razie wkrótce znajdziesz się w wiadomościach takich jak te firmy, które korzystały z MD5 i SHA1, narażając w ten sposób swoich użytkowników na proste ataki siłowe.

— Nick Chammas,

Jasne, solenie i inne techniki są wymagane oprócz haszowania. I nigdy nie należy implementować prymitywów kryptograficznych sam (ona sama), a raczej używać niektórych szeroko testowanych bibliotek kryptograficznych.

— Yasir Arsanukaev

2

W zależności od języka programowania możesz zaszyfrować dane logowania, ale jeśli używasz języka zinterpretowanego, nie ma sposobu, aby upewnić się, że ktoś nie będzie w stanie odczytać poświadczeń, jeśli uzyska dostęp do systemu.

Jeśli korzystasz z C ++ lub podobnego, polecam utworzenie / znalezienie solonej funkcji szyfrowania / deszyfrowania i uruchomienie poświadczeń przez nią i zapisanie wynikowego skrótu jako pliku w systemie.

Jeśli korzystasz z PHP lub podobnego, radzę napisać opakowanie dla mcrypt_encrypt()i posolić poświadczenia, a następnie uruchomić zaciemnianie kodu, aby spowolnić hakerów, jeśli uzyskają dostęp do systemu.

— Patrick
źródło

Jeśli szyfrujesz dane uwierzytelniające, potrzebujesz innego sekretu, aby je ponownie odszyfrować. Ewentualnie zaszyfrowana forma staje się tajemnicą, więc osoba atakująca może z niej skorzystać. Brakuje niektórych szczegółów.

— Peter Eisentraut,