No video :(

Así es Cómo Deberías Guardar tus Contraseñas...

Подписаться 237 тыс.

Просмотров 95 тыс.

50% 1

Qué podemos hacer, como programadores, para guardar las contraseñas de nuestros usuarios de forma segura? Necesito saber criptografía? Puedo guardar las contraseñas en texto plano?
Además, con la reciente filtración de datos de Facebook, Instagram, Whatsapp y otras empresas asociadas, va bien aprender de esto 😅
👾 Redes sociales 👾
► Twitter: / bettatech
► Instagram: / betta_tech
► Canal Secundario: / @forkdebettatech
► Slack: bit.ly/33gaDDM
👨🏼‍🏫 MIS CURSOS 👨🏼‍🏫
👽 Curso de iniciación a la programación con JavaScript:
► bit.ly/3kr4bTc
👽 Curso de desarrollo backend con NodeJS y Express:
► bit.ly/3n4sirS
👕 MERCHANDISING DEL CANAL:
► Tienda RU-vid: / bettatech
► Tienda Teespring: teespring.com/...
⭐️ AFILIADOS ⭐️
🎁 7% Descuento en HOSTINGER (Código BETTATECH)
► www.hostg.xyz/...
🧠 Autocompletado con IA (Kite)
► www.kite.com/g...
🐾 MacPaw (CleanMyMacX):
► macpaw.audw.ne...
📝 Todoist:
► doist.grsm.io/...
🎵 TODA la música es de EpidemicSound:
► www.epidemicso...
✉️ CONTACTO PROFESIONAL:
► Respuesta no garantizada:
bettatechyt@gmail.com
📚 LIBROS 📚
Design Patterns
► amzn.to/39XuQlq
Head First Design Patterns
► amzn.to/2uq6XUq
Refactoring
► amzn.to/2SQnf2c
Clean Architecture
► amzn.to/3bZVonJ
Clean Code
► amzn.to/32WVKq3
Introduction to Algorithms
► amzn.to/34SyVFP
Cracking the Coding Interview
► amzn.to/2QkdwC6

Опубликовано:

4 апр 2021

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 196

@BettaTech 3 года назад

Si quieres saber más sobre estructuras de datos, no te pierdas mi vídeo resumen de las más importantes! 👉🏻 ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-5k2DWMRTXMM.html

@valmikicervantes7719 3 года назад

una duda, si quisiera aprender desarrollo nativo multiplataforma con react native que otra cosa tendria que aprender aparte de react native, voy en primer semestre y la verdad quiero encontrar trabajo de desarrollador movil, te agradeceria mucho una guía, ya se html,css,javascript,php,python algunas librerias de estos, git y bases de datos, que me falta?

@caracter182 3 года назад

Siempre con info de calidad. Grande Vsauce

3 года назад

Ni yo guardo las contraseñas de mis programitas en texto plano y Facebook sí. Lo de Facebook me parece lamentable, y siempre se las dieron de "hackers" pero lo que hacen es lamentable. En mi opinión. Lo que NO es lamentable es este video, muy bueno. Saludos!!

3 года назад

@@danielmbcn Estoy de acuerdo.

@manuelzz5970 3 года назад

@@danielmbcn no son acertijos raros, son problemas de programación, están orientados a ver tus capacidades algorítmicas tanto de eficacia como eficiencia. Además también hay pruebas teóricas de este tipo de conceptos, están bastante bien creadas, lo digo como fan al competitive programming.

3 года назад

@R.S.G Live Sí, coincido. Es lamentable, para mí es una de las peores empresas de la actualidad.

@juanmaa1414 3 года назад

@R.S.G Live @Christian Giménez esto se ha probado?

@nahuelmisaglezz.3883 3 года назад

@@danielmbcn Google maneja todo, por algo son problemas difíciles 😬

@sdx21 3 года назад

Muy interesante el video, podrías hacer alguno hablando de los gestores de contraseñas? Que tan buenos son y temas relacionados, estaría muy bueno!!

@AlexGalo0 3 года назад

Que corto el video y tan interesante :( ocupamos mas contenido! Gran video

@joseaminan 3 года назад

Aparte de usar una contraseña diferente por cada servicio, es recomendable usar doble factor de autenticación, siempre que sea posible.

@letsturnheads 2 года назад

Y desde el punto de vista del usuario, ¿qué gestor de contraseñas debemos usar para una mayor seguridad? gracias!!

@eriklonnrot9313 2 года назад

Bitwarden si lo usas bien es bastante bueno

@bojadev 3 года назад

Que opinás de los gestores de contraseñas? Muy buen video! Saludos

@FrancoSebastianGenre Год назад

No sé para qué se dedican a crear contenido si después no responden.

@jalilburbara 3 года назад

¿Como volvemos a generar los caracteres random Salt cuando el usuario vuelve a ingresar la contraseña a iniciar sesión?🤔 Creo que no lo explicaste o no lo entendí

@ferneyp 3 года назад

También me perdí en eso. Sólo habló de una herramienta para Node ¿Y si quiero usar otra cosa?

@erickvillatoro5683 3 года назад

Me quedó duda, cómo validan la contraseña cuando usan Salt? Guardan el Salt junto con la contraseña? Y si es así no volveríamos al problema del inicio?

@BettaTech 3 года назад

El Salt hace que el atacante tenga que reiniciar el ataque para cada usuario, ya que cada uno va a tener un salt distinto y aleatorio. A diferencia de antes donde, por decirlo de alguna forma, todos los usuarios compartían salt (uno vacío). Un atacante puede llegar a descrifrar una de las contraseñas, pero descifrar las de todo el sistema se vuelve muy costoso.

@erickvillatoro5683 3 года назад

@@BettaTech Oh sí, gracias, eso lo entendí. Pero mi duda es por parte de la empresa que implementa el Salt, ya que es aleatorio ellos como hacen para validar la contraseña de los usuarios?

@santo998 3 года назад

@@BettaTech Eso no responde la pregunta principal. ¿Dónde se almacena el salt de cada usuario? Por ejemplo: ¿Se agrega una columna "salt" en la tabla Usuarios de la Base de Datos?

@BettaTech 3 года назад

Si, el salt se puede guardar al igual que se guarda el hash de la contraseña+salt. Cada vez que se cambia la contraseña, el salt se debería de regenerar!

@erickvillatoro5683 3 года назад

@@BettaTech Gracias por la respuesta. Una vulnerabilidad podría ser una tabla arcoíris para los Salt. Pero tendrían que combinar el salt con todas las contraseñas y hacer una nueva tabla arcoiris para cada salt!! Ya veo la utilidad, basicamente les reinicias el trabajo jajajajaja

@acabreragnz 3 года назад

Que genio que sos! Ojo que encriptar y hashear son conceptos distintos, no habría que mezclarlos indistintamente. Saludos!

@luisabreu9271 3 месяца назад

Muy interesante. Gracias. ¿Podrías hacer un video dando ejemplo de como hacer lo que explica en este video?

@Miguel_Sanz 3 года назад

Un segundo factor de autenticación es básico a día de hoy. Que no quita la calidad de la contraseña deba ser buena.

@donbenjamin6459 3 года назад

Bellísimo, corto y al punto. Sos un grande

@juanmaguevara 3 года назад

Wow! No sabía nada de esto. Podrías explicar cómo funcionan servicios como 1Password o LastPass?

@joffreveloz2410 3 года назад

Yo antes antiguamente sacaba bases de datos en algunos servidores desprotegidos y los desencriptaba con un programa así siempre tenía Netflix y vendía cuentas:v Accountreaper creo que era el programa.

@alexismendozalinares3631 2 года назад

SentryMBA xd

@ErPerezM 3 года назад

Si colocó un factor aleatorio antes de hacer el hash, tendría que guardar este valor en algún lugar y relacionarlo con el usuario para poder hacer la comparación en un nuevo inicio de sesión???

@Rockandrolla8 7 месяцев назад

Muy bien explicado nunca entendí bien lo de los hashes el ssh etc me has ayudado bastante muchas gracias

@briangarcia7571 3 года назад

Gracias por compartir. Estaría genial si nos informaras un poco sobre las llaves FIDO para mantener nuestras cuentas seguras

@CarlosWolfram 3 года назад

Ya decia que el inicio de sesion de instagram desde un iphone en yemen fue raro xD Y tengo doble autenticacion

@kaladinstormblessed3273 3 года назад

Super super interesante. Me encantaría saber un método fácil de proteger las credenciales de tu base da datos para que no sean accesibles viendo el código fuente.

@BettaTech 3 года назад

Me lo apunto!! Es un tema muy interesante

@googleuser9422 3 года назад

Variables de entorno

@skarrlive1616 3 года назад

Y que piensas entonces de servicios que te generan las contraseñas y tu solo has de tener una contraseña maestra? como LastPass o creo que Chrome tambien lo hace ahora

@luis96xd 3 года назад

¡Genial video Betta Tech! Muy buenas explicaciones 😄

@hectorjuncal2312 3 года назад

Yo por ejemplo estoy bastante puesto en el mundo de la ciberseguridad y por ejemplo tengo acceso a los nombres, fechas de creación de su cuenta, nacionalidades y géneros de los usuarios afectados en el leak the Facebook de hace unos días

@darioestevanez9091 3 года назад

Estemmm…… eso se puede obtener hasta con una API, el problema sería si puedes extraer contraseñas o acceder a los chats de esas personas…………… mientras tanto, meh………

@hectorjuncal2312 3 года назад

@Daniel Muñoz si ya xD, solo es una muestra de que es muy facil que haya un leak y que se pueda liar, por suerte este caso pues no es de los de más importancia que digamos

@TriPabloski 3 года назад

Tengo curiosidad, ¿cual es tu opinión acerca de los gestores de contraseñas? un saludo

@bri99sa 3 года назад

Edge te da una contraseña aleatoria para las cuentas tmb, me da curiosidad usarla

@saed9943 3 года назад

Más vídeos de estos por favor!! Cortos y concisos

@ProgramadorMediocre 3 года назад

Yo para mí contraseñas utilizo una medio medio random que sea facil de recordar con espacios y despues le hago una conversión, ejemplo: "Mi profesora de historia" que lo convierto en $M1 pr0f3s0r@ d3 h1st0r1@;" Le pongo un símbolo de primero, La primera consonante en Mayúscula, las vocales las cambio por un número o símbolo (a = @, e =3, i = 1, o = 0) y de último le pongo una , ; o un . En esa clave hay letras mayúsculas, minúsculas, numeros, símbolos y espacios. No digo que sea inviolable pero dudo dudo que aparezca fácilmente en un diccionario de claves y por lo menos van a tener que trabajar duro para traducirla si ya una base de datos la encripto

@davidgutierrezperez1886 3 года назад

Es una buena forma establecer contraseñas

@ziixu 3 года назад

Muy interesante!

@hectorjuncal2312 3 года назад

yo lo que hago en sitios que quiero un extra de seguridad es pensar una clave que recuerde, luego codificarla en base64 para posteriormente convertirla en un hash md5 y este introducirlo como contraseña que se almacenará como otro hash, al no ser texto claro, de esta forma en cuanto encuentre la clave por fuerza bruta, se dará cuenta que todavía le quedan horas por delante, con un segundo proceso de fuerza bruta y con el temor de que haya usado varios tipos de encriptado o varias capas

@jesusdanielquinteroberrios3156 3 года назад

Excelente info, muchas gracias.

@FrancoFernandez15 3 года назад

Tremendo video! No conocía el funcionamiento a este nivel de las tablas de hash, muy buena! Además de todo lo que comentas, también yo recomendaría el uso de un gestor de contraseñas para generar y guardar contraseñas aleatorias, de gran longitud, y distintas por cada servicio, además de eso, también recomendaría el uso de una autenticacion en dos pasos, al menos en los servicios importantes

@SinSentido 2 года назад

Pero y si esa misma empresa me roba mis contraseña xd

@jvilce17 3 года назад

Me pareció buenísimo tu vídeo!!! Quisiera saber qué opinas sobre los gestores de Co traseñas, los usas? Cuál recomiendas? Saludos!

@frangviggi1100 3 года назад

Hola. Muchas gracias. Recomiendas el uso de gestores de contraseñas?

@MsSoldadoRaso 3 года назад

Por fin algo claro sobre el encriptado de claves.

@carsdfj 3 года назад

Muy buena informacion gracias crack ya extrañaba tus videos son muy interesantes no te pierdas tanto jejejeje

@francososa4937 3 года назад

Buenas martin! muy bueno el contendio siempre! ¿puede ser que esta caido el linlk para slack?

@stefanofabi 3 года назад

Hola BettaTech! Los codigos de verificación se deberían encriptar (lado server obvio)? Me refiero a esos códigos que usas cuando te llegan por sms, whatsapp, etc!

@marcelogutierrez9017 3 года назад

Tengo una duda yo las guardaba cómo sha o md5 y luego comparaba los resultados si eran iguales era OK, pero salt como haces para saber esos caracteres aleatorios osea son fijos los caracteres que enchufas al resultado final?

@BettaTech 3 года назад

El salt se guarda juntamente con la password hasheada 🙂

@hiweta927 3 года назад

Muy buen video! que genial encontrar tu canal

@imermamani2205 3 года назад

Buena info crack ... nuevo sub

@M3taDarko 6 месяцев назад

la solucion deberia estar en que las segundas claves de seguridad la gestione otra empresa y que el software de estas aplicaicones sean como piezas de lego de diferentes propietario. se podrian dar pactos, pero serian mas dificiles, menos lucrativo dada la cantidad de propietarios y no pasara tan desapercibido un pacto con tantas entidades. seria como una descentralizacion "centralizada" sana

@marcosrc6998 3 года назад

Graciassss por compartir tus conocimientos. Contenido de calidad

@rayoseldev819 Год назад

el salt para cada usuario que se genera automaticamente y se guarda en la base de datos, rollo ususario ID : 1 salt; 123124 ?

@adrianlopez3767 11 месяцев назад

Aprendí muchísimo muy practico

@andresroca9736 3 года назад

Que buen tema. Gracias. Genial la explicación-sugerencia que das. Chévere videos así de sabiduría aplicada de crack. Saludos 🤙

@felipeZafra301 3 года назад

pero con el aleatorio + la password no es un poco más complejo vulnerar, porque se supone que el resultado del hash es diferente en cada output.

@elizabethmenchaca6821 2 года назад

Excelente y valiosa información

@DavidCZ 3 года назад

Recomiendas como solución un gestor de contraseñas? Alguno en particular?

@ozzolim 3 года назад

Falto la parte donde dices como guardar las contraseñas es decir. Utilisando gestores de contrasenas, usar generadores de contraseñas y usar contrasenas largas de préférence usanso minusculas, mayusculas, numéros y caractères especiales.

@facundo.guerrero 2 года назад

El salt se agrega a la contraseña en texto plano y despues se encripta? o se encripta primero y luego se agrega el salt?

@bryanmauricio595 3 года назад

Hola ! Quisiera saber que colorscheme utilizas en vim, podrias por favor decirmelo ?

@husker123ify 3 года назад

Eso de Salt es como si fuera un token? que tegenera un numero aleatorio que añades a la contraseña??

@_Antarescor Год назад

pero ya me entro la duda.. como se supone que se desencriptan a la hora de iniciar sesión cuando estas pass tiene SALT aleatoria ?

@griof 3 года назад

Keepass. Gran aplicación para generar y guardar contraseñas.

@santo998 3 года назад

Por lejos. Igualmente, si un sitio web almacena la contraseña "pelada" no hay mucho que KeePass pueda hacer, más que configurarlo para cambiar la contraseña cada cierto tiempo... Otra opción es usar herramientas como Mozilla Monitor que accede a los leaks de contraseñas de "Have I Been Pwned" y te avisa si fuiste afectado.

@gelintonx 3 года назад

Para evitar contraseñas común están las expresiones regulares, si el string del texto no encaja en las expresión regular el usuario no podrá registrarse

@darioestevanez9091 3 года назад

pero eso es para validar que una contraseña encaje con las sugerencias dictadas por el servicio que estés usando: admin1234 tiene más de 8 caracteres, letras y números. Recién ahora se le agregan más cosas como que tenga un símbolo o use letras en mayúscula

@sendo_19 3 года назад

Y si añade un salt aleatorio comocomprueba que las contraseñas son iguales, se genera el mismo numero aleatorio?

@santiagomamani6111 3 года назад

Supongo que cuando se crea la contraseña, esta se guarda junto con el salt aleatorio. Es decir, el salt aleatorio solo se genera la primera vez que se crea la contraseña

@joel.garcia Год назад

Entiendo cómo funciona el algoritmo en la práctica, pero siempre me quedó la duda de cómo después se comparaban las contraseñas si al final en el back se le está agregando el salt aleatorio. Alguien sabe cómo se hace ahí? Porque el salt no es como una key que uno mismo define, es completamente aleatorio, y cuando se compara (en el caso de bcrypt) solo se usa la función `compareSync` y solo se especifica el número de saltos, pero en ningún momento cuál es el salt final anidado a la contraseña del usuario.

@miguelparkour7313 2 года назад

todo el mundo dice que deberíamos tener una contraseña para cada red social, pero si tenemos veinte redes sociales o aplicaciones que requieran loguearse, cómo hacemos para recordar de forma segura qué contraseña se utiliza en cada sitio?¿?

@Aldotronix Год назад

gestor de contraseñas

@MarceloAmigo_eu 3 года назад

Podrías hacer una segunda parte del video de estandarización de código,please?

@christianmagnus1003 3 года назад

En django usaba sha256 par encriptar contraseña, ahora uso argon2 que dicen ser mucho seguro

@valmikicervantes7719 3 года назад

@estebangomez3799 3 года назад

Gracias por compartir!

@khamilo2731 3 года назад

Quien me hackee verá los buenos memes que comparto y de como ella me rechaza.

@heribertonietonunez7417 3 года назад

Te faltó hablar de la autenticación en 2 pasos, creo que es mejor

@jesuslopezrodriguez2497 3 года назад

que maquina, muy buen contenido

@hijuliansosa 3 года назад

¡Excelente, gracias!

@drfcozapata 3 года назад

GENIAL una vez más...

@ANDREW_YHWH 3 года назад

Oye b4boso, te conozco del grupo de Telegram de programadores xD 😂

@drfcozapata 3 года назад

@@ANDREW_YHWH Épale ratón!!! XD

@rubencristobalgarcia185 3 года назад

Muy interesante gran video.

@ItzKirbyGamingYT Год назад

de hecho es ilegal guardar las contraseñas en texto plano en una base de datos en Perú, México y en muchos más países de Latinoamérica

@rawsome1809 3 года назад

Que buen dato vean hasta el final!

@jhonhilari4039 3 года назад

Que cámara utilizas para grabar tus videos?

@fco.carlosbeltran939 7 месяцев назад

Alguien sabe si las funciones de PHP ya incluyen este Hash+Salt ?

@aabbccdd11211 3 года назад

Hola Dot Csv, se te ha olvidado mencionar la técnica para generar X veces el hash de forma recurrente mediante un bucle. Saludos

@aabbccdd11211 3 года назад

Perdon, BettaTech 😁

@ramiroalegre8183 Год назад

El video es de hace un año y muy probablemente lo hayan comentado, pero aca entraría en juego las reestricciones en la contraseña al momento de crear una nueva cuenta o de cambiar la misma, es decir, en algun momento vamos a tener que forzar al usuario que ponga una contraseña con tanto largo, con un caracter especial, con un numero, con una mayuscula, etc. Como ya se viene haciendo basicamente, pero es importante seguir con estas practicas para así acostumbrar a las personas.

@jspllvn 3 года назад

Increíble como explicas los temas pero no me queda claro como verificas un password con salt. . ¿Tienes que guardar el código aleatorio?

@BettaTech 3 года назад

Sep! El salt lo has de guardar tambirn

@malwarevoice 2 года назад

aue opinas de los gestores de contraseñas, mala idea?

@JoseLuis-sr4xw 3 года назад

El hast + salt se hace en el backend, no? para hacerlo con java spring que me recomendais utilizar.

@darioestevanez9091 3 года назад

1. Corrige tus horrores de ortografia 2. Lo dijo en el video

@diego_solis 3 года назад

Se hace en el front y haces la petición al back con query string (sarcasm)

@Francisco-zu2ou 3 года назад

muy buen video, me encanto. :D

@javid2340 3 года назад

Para tener una contraseña diferente en cada sitio yo utilizo Firefox, que las genera automáticamente. Además de generar contraseñas muy seguras, no tienes que recordarlas todas.

@ANDREW_YHWH 3 года назад

No entendí, ¿no le das guardar contraseñas en el navegador y cada vez que deseas ingresar te la revela?

@javid2340 3 года назад

@@ANDREW_YHWH cuando te registras te sugiere una (tipo gJ5#5hG83R&ejus). Él la guarda y cada vez que vas a hacer login te la autocompleta. Si te vas a otro equipo o formateas, sólo necesitas recordar tu cuenta de Firefox.

@KoffeeCoding 3 года назад

volvioooo martinnn!!!!

@Carlos-qi8er 3 года назад

podrias hablar de las llaves gpg?

@chicharrero3884 3 года назад

Siempre he tenido esa duda, estoy estudiando daw pero los profesores nunca dicen como guardar las contraseñas, supongo que esperan que te enseñen otros

@marycarmenfortiarias8733 Год назад

Madre que ojos tan bonitos..

@ccmarin14 3 года назад

Excelente video, me enseñaste algo nuevo, gracias

@BettaTech 3 года назад

Gracias a ti por verme!

@matreyux3882 3 года назад

muy buen video te felicito

@DomingoBerron 3 года назад

El video me ha resultado muy interesante, pero me plantea una duda sobre las tablas arco iris. Déjame plantearla aquí y pedirte el feedback. La funciones de hash (hasta donde yo se) no garantizan que dos elementos de entrada t1 y t2 produzcan diferente hash. Es decir existe la posibilidad de que el hash(t1) == hash(t2). Si al verificar la contraseña solo comprobamos que el resultado del hash coincida con lo almacenado en la base de datos, tenemos una posible colisión en la que dos contraseñas tecleadas por el usuario produzcan el mismo resultado y por tanto sea posible hacer login en el sistema con una contraseña distinta a la que proporcionamos. Si bien creo que el que dos entradas produzcan el mismo hash es algo "poco probable", entiendo que tiene un alto impacto en las tablas arco iris. Dado que un hacker en realidad no necesita saber exactamente cual es la contraseña que produjo el hash, si no una de las posibles contraseñas que lo pueden producir. Y este razonamiento me lleva a que la solución del password + salt se me queda corta. Dado que, de nuevo, si quiero atacar la cuenta... en realidad tan solo necesito un texto que produzca el mismo hash. Supongo que me estoy perdiendo algo en el camino... ¿puedes aclararmelo?

@BettaTech 3 года назад

En general, la posibilidad de que colisionen dos contraseñas que estan tratadas con hash es tan pero tan baja que el coste de encontrar el match por fuerza bruta hace que no valga la pena. Porque ademas, serias capaz de descubrir la password de 1 usuario, tendrias que repetir el proceso cada vez gracias al salt

@merloali 3 года назад

Wao que buena idea, el Salt podría ser el id del usuario de la base de datos en mongodb

@BettaTech 3 года назад

No! El salt debe ser aleatorio siempre 😊

@MvtiasL 2 месяца назад

Que es texto plano?

@ezequielgerstelbodoha9492 2 года назад

Me gustan aquellas plataformas que te obligan a insertar una contraseña con numeros y caracteres, mayusculas y minusculas

@elganplays9297 3 года назад

Y que tan segura son las contraseñas en 2 factores ?

@Arjuna771 3 года назад

Las contraseñas de semiprimos siguen siendo seguras???

@a0z9 3 года назад

No son errores. Son políticas de empresa. No cumplen las leyes pero ahora con rgpd si no cumplen lo pagan bien caro. Lo malo es que no son empresas de la ue y su gobierno les defiende con lo que la ley se la pasan por ahí mismo.

@orolandorp87 3 года назад

Casa de herrero, cuchillo de palo...

@tomdl524 2 года назад

a que se refiere con texto plano?

@saitoinosaka6445 2 года назад

y si tengo contraseña distinta para cada servicio o cuenta? Dónde es recomendable guardar todas ellas? Yo por ahora las tengo un excel en local ;v y seguramente no es para nada la manera correcta. Muy buen video y canal. Gracias por tu trabajo.