Eu sou pentester e já consegui fazer dump de diversos banco de diversos clientes. Já vi muita coisa, MD5, texto aberto etc. o que mais me impressionou positivamente foi quando as senhas estavam armazenadas em bcrypt com salting e aplicando uma força de trabalho 10, com exceção de uma das senhas que era admin, as demais não consegui decriptar e eu tentei diversas técnicas.
Casal CDF, pegando o gancho de segurança... Vocês poderiam fazer um "Mão no Código" falando sobre variáveis de ambiente. Como salvar senhas de admin sem deixar brechas. Qual o cuidado com o versionamento para não fazer o push com as senhas. etc. Seria uma boa, principalmente para iniciantes como eu. Abraços!!!
Muito interessante! Trabalhei por alguns anos com o bom e velho MD5 em projetos legados. Hoje trabalho com BCrypt sem medo de ser feliz, mas claro, tomando todas as medidas de segurança necessárias para proteger nossos usuários!
Muito legal trazer esse assunto a tona...muitas vezes seguindo o tutorial para uma outra funcionalidade, nos deparamos com o exemplo utilizando um algoritmo mais simples, apenas pra ter como exemplo. E dessa forma, acabamos imaginando que estamos seguros quando na verdade não.
Que vídeo incrível! Explicação super simples e em duas linguagens muito boas (inclusive as duas linguagens mais usadas no ambiente que trabalho). Estou em um processo de estudo sobre criptografia de alguns dados para cumprir regras da LGPD e isso me deu um norte muito bom sobre como começar! Parabéns pelo vídeo e muito sucesso para vocês
Bom dia casal Dev muito alto astral. Estou estudando pra Full-Stack e estou exatamente nesta parte com o PostgreSQL. Já havia lido sobre o "Sanitize" e queria saber com vocês, baseado nesse exemplo, qual o melhor momento pra fazer isso ? Logo ao receber username e password no Front-End ou em ambos, Front-End e no Back-End novamente ? Amo demais seus canais e no "mão no código" já consigo entender muita coisa. Abraços. ..
Vanessa disse que mesmo que dois usuários tenham a mesma senha o hash será diferente, nesse caso, se dois usuários tiverem a mesma senha como fazer a comparação??
Tô aqui pensando, e se, junto da senha for armazenado o e-mail e username de forma embaralhada (por exemplo: divide a string de e-mail e x pedaços, a strings de username em outros tantos pedaços e por fim, a senha. Depois refaz a string que vai ser processada embaralhada), não ajuda na segurança? Adicionar um outro fator à "senha", como ano+mês+dia+hora+minutos+segundos, ajuda?
Eu costumo utilizar o bcrypt mesmo, mas antes eu coloco uma hash configurada na env do meu backend de forma que apenas a minha aplicação conseguirá resolver, garantindo que se houver um roubo do banco as senhas estarão seguras
Pessoal, alguém pode me ajudar? Qual seria o modo correto de estruturar um sistema de login no front usando react? Quais informações eu posso guardar na section e quais não? Como o back end deve responder? essas informações precisam ser enviadas como header de toda requisição para o back?
Pessoal, preciso muito da ajuda de vocês, atualmente estou cursando análise e desenvolvimento de sistemas. Já trabalhei como desenvolvedor RPA e atualmente sou desenvolvedor Python. Porém, estou sentindo que as matérias do curso são "básicas" demais. Por eu ter feito alguns cursos e pelas experiências, acabo que não aproveito muito do conteúdo. Diante disso, fiquei no interesse de migrar para o curso de segurança da informação, além de eu ter interesse nesse mundo, eu aproveitaria mais os conteúdos por ser tudo coisas novas que não estudei ainda e não quero chegar ao ponto de desanimar e querer cancelar a faculdade. Qual a opinião de vocês?
Coincidência, estou estudando a Web Crypto API do JS, para entender um pouco melhor sobre criptografia e não precisar de bibliotecas de terceiros, com ela é possível trabalhar com Hash, Hash de senha, criptografia simétrica e assimétrica. Arrisco a dizer qu depois de entender melhor como funciona é até mais fácil usar JS puro do que importar pacotes.
Opa, me tira uma dúvida? Eu já sei html css Javascript, sei Java(o puro,poo,estrutura de dados etc) banco de dados, git e git hub . Quality você indicaria para quem quer arrumar o primeiro emprego? Java com angular ou node com react?
Uma dica importante! O hash gasta processamento, então toda vez que aumenta a quantidade de vezes em que o password passa pelo hash, lembre-se disso, se for uma aplicação bem grande, irá gastar muito processamento, já que milhares de usarios vão acessar a aplicação.
nao sou da area necessariamente, mas a grande questão seria impedir que o banco de senhas seja acesso, mas entendo que caso ele seja acesso existe mais uma camada para dificultar. agora minha duvida é como senhas do google, uma gigante da TI, por exemplo, são vazadas com certa frequência
A ideia da palavra "salt" - no contexto - é essa mesmo. Isso garante que uma cifra ou um hash tenha uma imagem (saída) com grau de aleatoriedade. Dessa forma, um ataque com uma tabela arco-íris fica impraticável. Poderia ter sido algo melhor abordado no video porque é um benefício.
Vanessa e Gabriel, seu vídeos não podia ter chegado em melhor hora. Estou desenvolvendo uma lógica de autenticação com OAuth2 nesse exato momento. Só tenho uma dúvida, no caso vcs salvaram em Texto as senhas para a compatibilidade das duas aplicações. Caso eu fosse usar apenas o python, a senha poderia ser salva como BLOB no banco?
Uma dúvida de principiante... Onde está o segredo no armazenamento dessas senhas no banco? Porque pelo ao menos pra min. Não enxerguei o que torna esse hash único. Porque o genSalt é gerado pelo código, e para descriptografar a senha ele usa a própria função da lib. Dúvida o que impede de alguém que tenha acesso ao banco, ou ter as senhas vazas usar o mesmo código para descriptografar?
eu uso c# e isso ja vem de fabrica kk nao precisa mudar nada, alem de vir com lockout 3 por padrao, logo 0 chances de quebra de senha por forca bruta, obvio que nunca deixo o banco exposto na internet, par isso servem apis não é mesmo
O melhor é não armazenar senha e por isso, se possível, fazer autenticação com email, outros serviços ou magic link. Esses serviços tem equipes inteiras pra lidar com segurança!
To aqui perdidinha, mas com o foco em aprender todo dia!!! Melhor coisa na vida foi encontrar vcs!❤
Eu sou pentester e já consegui fazer dump de diversos banco de diversos clientes. Já vi muita coisa, MD5, texto aberto etc. o que mais me impressionou positivamente foi quando as senhas estavam armazenadas em bcrypt com salting e aplicando uma força de trabalho 10, com exceção de uma das senhas que era admin, as demais não consegui decriptar e eu tentei diversas técnicas.
O universo é maravilhoso! No meio da aula de BD, saiu um vídeo de BD!!! Obrigado pelo vídeo!!!
Casal CDF, pegando o gancho de segurança... Vocês poderiam fazer um "Mão no Código" falando sobre variáveis de ambiente. Como salvar senhas de admin sem deixar brechas. Qual o cuidado com o versionamento para não fazer o push com as senhas. etc.
Seria uma boa, principalmente para iniciantes como eu. Abraços!!!
Valeu pela aula!🥰
Muito interessante! Trabalhei por alguns anos com o bom e velho MD5 em projetos legados. Hoje trabalho com BCrypt sem medo de ser feliz, mas claro, tomando todas as medidas de segurança necessárias para proteger nossos usuários!
muito obrigadoooo, e eles ainda mostraram como usar no node que é a tecnologia que uso pro back😍😍😍
Muito legal trazer esse assunto a tona...muitas vezes seguindo o tutorial para uma outra funcionalidade, nos deparamos com o exemplo utilizando um algoritmo mais simples, apenas pra ter como exemplo. E dessa forma, acabamos imaginando que estamos seguros quando na verdade não.
Que vídeo incrível! Explicação super simples e em duas linguagens muito boas (inclusive as duas linguagens mais usadas no ambiente que trabalho).
Estou em um processo de estudo sobre criptografia de alguns dados para cumprir regras da LGPD e isso me deu um norte muito bom sobre como começar!
Parabéns pelo vídeo e muito sucesso para vocês
Que legal! Sou novo no canal, mas nunca vi Vanessa com a mão no código.
Excelente trabalho pessoal!
Estou pensando em fazer meu TCC focado em funções hash para armazenar senhas! Ainda não comecei, mas esse vídeo foi bem útil!
Parabéns 👏👏 ótima aula! Eu sempre quis saber como manipular de forma segura uma senha. 🙏
João Pessoa - PB aqui 💪🏻 ligadão no canal
Somos dois 🤝
Bom dia casal Dev muito alto astral. Estou estudando pra Full-Stack e estou exatamente nesta parte com o PostgreSQL. Já havia lido sobre o "Sanitize" e queria saber com vocês, baseado nesse exemplo, qual o melhor momento pra fazer isso ? Logo ao receber username e password no Front-End ou em ambos, Front-End e no Back-End novamente ? Amo demais seus canais e no "mão no código" já consigo entender muita coisa. Abraços. ..
Muito bom o vídeo. Alguma dessas bibliotecas/pacotes mencionadas faz a verificação dos campos username e password para evitar SQL injection?
eu faço bastante similar mas eu ainda uso um salt extra que eu gero e anexo a senha antes de enviar pro bcrypt
Excelente conteúdo !
simplesmente sensacional !!!
Muito legal o video, parabéns pelo conteúdo, esse assunto realmente é o tendão dos desenvolvedores no inicio da tela de login srsrsrsr
Eu uso hash que utiliza duas seeds que mescla a seed do projeto com alguns dados do cliente para gerar um sha1
Para tudo que esse video é mega importante
Vanessa disse que mesmo que dois usuários tenham a mesma senha o hash será diferente, nesse caso, se dois usuários tiverem a mesma senha como fazer a comparação??
Aqui é plain text em csv no Github, super seguro
Muito obrigado!
Tô aqui pensando, e se, junto da senha for armazenado o e-mail e username de forma embaralhada (por exemplo: divide a string de e-mail e x pedaços, a strings de username em outros tantos pedaços e por fim, a senha. Depois refaz a string que vai ser processada embaralhada), não ajuda na segurança? Adicionar um outro fator à "senha", como ano+mês+dia+hora+minutos+segundos, ajuda?
Eu costumo utilizar o bcrypt mesmo, mas antes eu coloco uma hash configurada na env do meu backend de forma que apenas a minha aplicação conseguirá resolver, garantindo que se houver um roubo do banco as senhas estarão seguras
Muito legal. Fiquei curioso em como funciona. Nesse caso todos os salts usariam o hash do .env?
Hostinger é melhor serviço que existe do segmento no Brasil! Nunca me deixou na mão, suporte e preços excelentes.
Belém/PA 👍
Já deixando like.
Pessoal, alguém pode me ajudar? Qual seria o modo correto de estruturar um sistema de login no front usando react? Quais informações eu posso guardar na section e quais não? Como o back end deve responder? essas informações precisam ser enviadas como header de toda requisição para o back?
Alguem me explica por favor esse conceito do return e o que ele faz?
Eu meio q nao to vendo sentido por tras do return
Pessoal, preciso muito da ajuda de vocês, atualmente estou cursando análise e desenvolvimento de sistemas. Já trabalhei como desenvolvedor RPA e atualmente sou desenvolvedor Python. Porém, estou sentindo que as matérias do curso são "básicas" demais. Por eu ter feito alguns cursos e pelas experiências, acabo que não aproveito muito do conteúdo.
Diante disso, fiquei no interesse de migrar para o curso de segurança da informação, além de eu ter interesse nesse mundo, eu aproveitaria mais os conteúdos por ser tudo coisas novas que não estudei ainda e não quero chegar ao ponto de desanimar e querer cancelar a faculdade. Qual a opinião de vocês?
Coincidência, estou estudando a Web Crypto API do JS, para entender um pouco melhor sobre criptografia e não precisar de bibliotecas de terceiros, com ela é possível trabalhar com Hash, Hash de senha, criptografia simétrica e assimétrica. Arrisco a dizer qu depois de entender melhor como funciona é até mais fácil usar JS puro do que importar pacotes.
Isso deve ser perguntado sempre mas, qual é esse tema do VScode que vocês utilizam ?
Opa, me tira uma dúvida?
Eu já sei html css Javascript, sei Java(o puro,poo,estrutura de dados etc) banco de dados, git e git hub .
Quality você indicaria para quem quer arrumar o primeiro emprego?
Java com angular ou node com react?
Fiquei com uma dúvida...
Para fazer esse hash, não seria necessário informar algum tipo de seed ou secret key para o bcript?
fiz um algoritmo de hash usando o sha 384, 30.000 iteracoes, salt e pepper, estou com duvidas para mudar para bcrypt
Boa tarde. Qual foi a impressão que vocês tiverem do Copilot, ajudou mais do que atrapalhou?
fiquei aliviado, eu já usava o bcrypt kkkkk
pensei que iam falar para não usar.
Poderia ter colocado a coluna com tipo bytea aí no python não precisaria utilizar a conversão pra utf8
Uma dica importante! O hash gasta processamento, então toda vez que aumenta a quantidade de vezes em que o password passa pelo hash, lembre-se disso, se for uma aplicação bem grande, irá gastar muito processamento, já que milhares de usarios vão acessar a aplicação.
nao sou da area necessariamente, mas a grande questão seria impedir que o banco de senhas seja acesso, mas entendo que caso ele seja acesso existe mais uma camada para dificultar. agora minha duvida é como senhas do google, uma gigante da TI, por exemplo, são vazadas com certa frequência
Engenharia social sobre funcionários que possuem acesso ao banco de dados é um dos caminhos.
Jurava que quando o Gabriel disse os melhores comentários vão ganhar ele ia dizer bonés... 😂
Eu tenho que começar a estudar sobre segurança, alguém tem alguns sugestão de material?
pesquisa sobre crypto101
Achei que salt era de sal. Quanto maior o salt, mais salgadinha ficaria a senha
A ideia da palavra "salt" - no contexto - é essa mesmo.
Isso garante que uma cifra ou um hash tenha uma imagem (saída) com grau de aleatoriedade.
Dessa forma, um ataque com uma tabela arco-íris fica impraticável.
Poderia ter sido algo melhor abordado no video porque é um benefício.
13:10 me falaram que python seria mais simples e limpo do que JS. 😢😢😢
"Salt é salto" foi tenso...
Vanessa e Gabriel, seu vídeos não podia ter chegado em melhor hora. Estou desenvolvendo uma lógica de autenticação com OAuth2 nesse exato momento. Só tenho uma dúvida, no caso vcs salvaram em Texto as senhas para a compatibilidade das duas aplicações. Caso eu fosse usar apenas o python, a senha poderia ser salva como BLOB no banco?
Uso Sha256, e seguro ou devo mudar?
Uma dúvida de principiante... Onde está o segredo no armazenamento dessas senhas no banco?
Porque pelo ao menos pra min. Não enxerguei o que torna esse hash único. Porque o genSalt é gerado pelo código, e para descriptografar a senha ele usa a própria função da lib. Dúvida o que impede de alguém que tenha acesso ao banco, ou ter as senhas vazas usar o mesmo código para descriptografar?
eu uso c# e isso ja vem de fabrica kk nao precisa mudar nada, alem de vir com lockout 3 por padrao, logo 0 chances de quebra de senha por forca bruta, obvio que nunca deixo o banco exposto na internet, par isso servem apis não é mesmo
Algum motivo para o password ser um TEXT no postgres?
Usando Salt + Pepper agora.
O melhor é não armazenar senha e por isso, se possível, fazer autenticação com email, outros serviços ou magic link.
Esses serviços tem equipes inteiras pra lidar com segurança!
Sergipe
me pergunto o que aconteceria se eu colocasse ( ͡° ͜ʖ ͡°) , ¯\_(ツ)_/¯ ou até mesmo [̲̅$̲̅(̲̅5̲̅)̲̅$̲̅] como a senha....
MD5 é bom para gerar hash de arquivos, checksum, essas coisas... Senha aí parece delírio kk
nada deixo em txt mesmo, uhahahuhah !
1º A chegar SJC-SP - Presente!!!! Dica: Deveriam bonificar com algo quem chega 1º e dê like. Abraços
Toma um coração! ❤️
Bonificar por ser o primeiro? KKKKKKKKK
Aprovado em último lugar >>>>>>>>>>> aprovado em primeiro lugar
Na próxima eu vou ser o primeiro, vou querer um coração também 😃
💅 💅 💅 💅 💅
jesus001 😂