Almacenamiento y seguridad criptográficos inseguros | Secure Code Warrior
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
En esta sociedad digital, los desarrolladores son responsables de mantener la información y las empresas a salvo del almacenamiento criptográfico inseguro. Aprenda de Secure Code Warrior.
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
%20(1).avif)
.avif)
