Deixe as Senhas Seguras no Banco de Dados

Подписаться 676 тыс.

Просмотров 25 тыс.

50% 1

💜 VPS HOSTINGER COM MELHOR PREÇO DO ANO → codft.me/vpshostinger
🎫 𝗨𝗦𝗘 𝗢 𝗖𝗨𝗣𝗢𝗠: CODIGOFONTE
Você sabia que 2,7 milhões de logins e senhas de brasileiros já vazaram em 2023?
De um lado temos usuários que usam senhas fracas e repetidas para diversos serviços, e do outro os desenvolvedores que não adotam medidas simples de segurança ao armazenas as senhas em banco de dados em suas aplicações.
Existem algoritmos de hashing extremamente eficientes que podem determinar a segurança dessas senhas. Nesse vídeo, além de mostrar como armazenar as senhas com segurança (usando Node.js e Python), mostramos como é relativamente fácil quebrar senhas usando algoritmos que muitos ainda consideram "seguros".
🎙️ Compilado Podcast
→ RU-vid: codft.me/canalcompilado
→ Spotify: codft.me/compiladospotify
→ Newsletter: compilado.codigofonte.com.br
🔗 Mais links do Código Fonte TV
→ codigofonte.tv
#Segurança #Senhas #hacker

Наука

Опубликовано:

25 фев 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 77

@dudu88games 5 месяцев назад

Casal CDF, pegando o gancho de segurança... Vocês poderiam fazer um "Mão no Código" falando sobre variáveis de ambiente. Como salvar senhas de admin sem deixar brechas. Qual o cuidado com o versionamento para não fazer o push com as senhas. etc. Seria uma boa, principalmente para iniciantes como eu. Abraços!!!

@H4Ck3R_Etico 4 месяца назад

Eu sou pentester e já consegui fazer dump de diversos banco de diversos clientes. Já vi muita coisa, MD5, texto aberto etc. o que mais me impressionou positivamente foi quando as senhas estavam armazenadas em bcrypt com salting e aplicando uma força de trabalho 10, com exceção de uma das senhas que era admin, as demais não consegui decriptar e eu tentei diversas técnicas.

@flaviaholanda9674 5 месяцев назад

To aqui perdidinha, mas com o foco em aprender todo dia!!! Melhor coisa na vida foi encontrar vcs!❤

@Leonardo0Louco 5 месяцев назад

O universo é maravilhoso! No meio da aula de BD, saiu um vídeo de BD!!! Obrigado pelo vídeo!!!

@FelipedosSantosAssis 5 месяцев назад

Muito interessante! Trabalhei por alguns anos com o bom e velho MD5 em projetos legados. Hoje trabalho com BCrypt sem medo de ser feliz, mas claro, tomando todas as medidas de segurança necessárias para proteger nossos usuários!

@ranan.js1080 4 месяца назад

muito obrigadoooo, e eles ainda mostraram como usar no node que é a tecnologia que uso pro back😍😍😍

@cristiandasilva1870 5 месяцев назад

Muito legal o video, parabéns pelo conteúdo, esse assunto realmente é o tendão dos desenvolvedores no inicio da tela de login srsrsrsr

@Landonkarther 5 месяцев назад

Que legal! Sou novo no canal, mas nunca vi Vanessa com a mão no código. Excelente trabalho pessoal!

@jonnyvv 5 месяцев назад

Muito legal trazer esse assunto a tona...muitas vezes seguindo o tutorial para uma outra funcionalidade, nos deparamos com o exemplo utilizando um algoritmo mais simples, apenas pra ter como exemplo. E dessa forma, acabamos imaginando que estamos seguros quando na verdade não.

@danieltauil5457 5 месяцев назад

simplesmente sensacional !!!

@XxguaxinimxX. 5 месяцев назад

Estou pensando em fazer meu TCC focado em funções hash para armazenar senhas! Ainda não comecei, mas esse vídeo foi bem útil!

@Gustavosirkis 5 месяцев назад

Deram aula, valeu!

@giuliofc4791 5 месяцев назад

Parabéns 👏👏 ótima aula! Eu sempre quis saber como manipular de forma segura uma senha. 🙏

@fsbettecher 5 месяцев назад

Que vídeo incrível! Explicação super simples e em duas linguagens muito boas (inclusive as duas linguagens mais usadas no ambiente que trabalho). Estou em um processo de estudo sobre criptografia de alguns dados para cumprir regras da LGPD e isso me deu um norte muito bom sobre como começar! Parabéns pelo vídeo e muito sucesso para vocês

@marcelopessoa2510 Месяц назад

Excelente conteúdo !

@abraaof0 5 месяцев назад

João Pessoa - PB aqui 💪🏻 ligadão no canal

@ronaldinhodev 5 месяцев назад

Somos dois 🤝

@FelipeSilva-fd6sz 5 месяцев назад

Muito bom o vídeo. Alguma dessas bibliotecas/pacotes mencionadas faz a verificação dos campos username e password para evitar SQL injection?

@alexmarques5693 5 месяцев назад

Bom dia casal Dev muito alto astral. Estou estudando pra Full-Stack e estou exatamente nesta parte com o PostgreSQL. Já havia lido sobre o "Sanitize" e queria saber com vocês, baseado nesse exemplo, qual o melhor momento pra fazer isso ? Logo ao receber username e password no Front-End ou em ambos, Front-End e no Back-End novamente ? Amo demais seus canais e no "mão no código" já consigo entender muita coisa. Abraços. ..

@patriciabarbosa7819 5 месяцев назад

Para tudo que esse video é mega importante

@Rattones 5 месяцев назад

eu faço bastante similar mas eu ainda uso um salt extra que eu gero e anexo a senha antes de enviar pro bcrypt

@rodrigojager 5 месяцев назад

"Salt é salto" foi tenso...

@chaveirojaimison8422 12 дней назад

Já deixando like.

@rood_m 5 месяцев назад

Belém/PA 👍

@Youkko 4 месяца назад

Valeu pela aula!🥰

@alexandrejastrow8454 5 месяцев назад

Aqui é plain text em csv no Github, super seguro

@robersonbrehm 3 месяца назад

Eu uso hash que utiliza duas seeds que mescla a seed do projeto com alguns dados do cliente para gerar um sha1

@ppcarvalhof 5 месяцев назад

Tô aqui pensando, e se, junto da senha for armazenado o e-mail e username de forma embaralhada (por exemplo: divide a string de e-mail e x pedaços, a strings de username em outros tantos pedaços e por fim, a senha. Depois refaz a string que vai ser processada embaralhada), não ajuda na segurança? Adicionar um outro fator à "senha", como ano+mês+dia+hora+minutos+segundos, ajuda?

@ivoa.calanga5425 4 месяца назад

Vanessa disse que mesmo que dois usuários tenham a mesma senha o hash será diferente, nesse caso, se dois usuários tiverem a mesma senha como fazer a comparação??

@AlexandreRock-coderando 4 месяца назад

Jurava que quando o Gabriel disse os melhores comentários vão ganhar ele ia dizer bonés... 😂

@kelsondouglas23 5 месяцев назад

Isso deve ser perguntado sempre mas, qual é esse tema do VScode que vocês utilizam ?

@joaobreno1656 5 месяцев назад

Opa, me tira uma dúvida? Eu já sei html css Javascript, sei Java(o puro,poo,estrutura de dados etc) banco de dados, git e git hub . Quality você indicaria para quem quer arrumar o primeiro emprego? Java com angular ou node com react?

@WeltonVaz 5 месяцев назад

Muito obrigado!

@GersonMSJ 5 месяцев назад

Coincidência, estou estudando a Web Crypto API do JS, para entender um pouco melhor sobre criptografia e não precisar de bibliotecas de terceiros, com ela é possível trabalhar com Hash, Hash de senha, criptografia simétrica e assimétrica. Arrisco a dizer qu depois de entender melhor como funciona é até mais fácil usar JS puro do que importar pacotes.

@this.claudio 5 месяцев назад

Fiquei com uma dúvida... Para fazer esse hash, não seria necessário informar algum tipo de seed ou secret key para o bcript?

@ruanvictor5139 5 месяцев назад

Pessoal, alguém pode me ajudar? Qual seria o modo correto de estruturar um sistema de login no front usando react? Quais informações eu posso guardar na section e quais não? Como o back end deve responder? essas informações precisam ser enviadas como header de toda requisição para o back?

@disfuncionais1336 5 месяцев назад

top😎

@thommy_80 5 месяцев назад

Achei que salt era de sal. Quanto maior o salt, mais salgadinha ficaria a senha

@wyltonleone 4 месяца назад

A ideia da palavra "salt" - no contexto - é essa mesmo. Isso garante que uma cifra ou um hash tenha uma imagem (saída) com grau de aleatoriedade. Dessa forma, um ataque com uma tabela arco-íris fica impraticável. Poderia ter sido algo melhor abordado no video porque é um benefício.

@agostinholima6554 5 месяцев назад

Boa tarde. Qual foi a impressão que vocês tiverem do Copilot, ajudou mais do que atrapalhou?

@Antonio-nn2kq 4 месяца назад

Hostinger é melhor serviço que existe do segmento no Brasil! Nunca me deixou na mão, suporte e preços excelentes.

@mds.Gabriel 5 месяцев назад

Pessoal, preciso muito da ajuda de vocês, atualmente estou cursando análise e desenvolvimento de sistemas. Já trabalhei como desenvolvedor RPA e atualmente sou desenvolvedor Python. Porém, estou sentindo que as matérias do curso são "básicas" demais. Por eu ter feito alguns cursos e pelas experiências, acabo que não aproveito muito do conteúdo. Diante disso, fiquei no interesse de migrar para o curso de segurança da informação, além de eu ter interesse nesse mundo, eu aproveitaria mais os conteúdos por ser tudo coisas novas que não estudei ainda e não quero chegar ao ponto de desanimar e querer cancelar a faculdade. Qual a opinião de vocês?

@tallessalmon 5 месяцев назад

Eu costumo utilizar o bcrypt mesmo, mas antes eu coloco uma hash configurada na env do meu backend de forma que apenas a minha aplicação conseguirá resolver, garantindo que se houver um roubo do banco as senhas estarão seguras

@RafaelSales55 4 месяца назад

Muito legal. Fiquei curioso em como funciona. Nesse caso todos os salts usariam o hash do .env?

@wesleynogueira9754 5 месяцев назад

Uso Sha256, e seguro ou devo mudar?

@apertaplays 5 месяцев назад

Alguem me explica por favor esse conceito do return e o que ele faz? Eu meio q nao to vendo sentido por tras do return

@kevingood10 4 месяца назад

fiz um algoritmo de hash usando o sha 384, 30.000 iteracoes, salt e pepper, estou com duvidas para mudar para bcrypt

@davidm.1263 5 месяцев назад

fiquei aliviado, eu já usava o bcrypt kkkkk pensei que iam falar para não usar.

@petregluiz 4 месяца назад

Vanessa e Gabriel, seu vídeos não podia ter chegado em melhor hora. Estou desenvolvendo uma lógica de autenticação com OAuth2 nesse exato momento. Só tenho uma dúvida, no caso vcs salvaram em Texto as senhas para a compatibilidade das duas aplicações. Caso eu fosse usar apenas o python, a senha poderia ser salva como BLOB no banco?

@MarcusBecker 4 месяца назад

Usando Salt + Pepper agora.

@arlancarloz 5 месяцев назад

Uma dica importante! O hash gasta processamento, então toda vez que aumenta a quantidade de vezes em que o password passa pelo hash, lembre-se disso, se for uma aplicação bem grande, irá gastar muito processamento, já que milhares de usarios vão acessar a aplicação.

@RamomCartillo Месяц назад

Uma dúvida de principiante... Onde está o segredo no armazenamento dessas senhas no banco? Porque pelo ao menos pra min. Não enxerguei o que torna esse hash único. Porque o genSalt é gerado pelo código, e para descriptografar a senha ele usa a própria função da lib. Dúvida o que impede de alguém que tenha acesso ao banco, ou ter as senhas vazas usar o mesmo código para descriptografar?

@lucas_angelo 4 месяца назад

Algum motivo para o password ser um TEXT no postgres?

@igoravilapereira 5 месяцев назад

Poderia ter colocado a coluna com tipo bytea aí no python não precisaria utilizar a conversão pra utf8

@wendel139 5 месяцев назад

Eu tenho que começar a estudar sobre segurança, alguém tem alguns sugestão de material?

@costadev8970 5 месяцев назад

pesquisa sobre crypto101

@gelvanoliveira7547 5 месяцев назад

Sergipe

@engwesleycarvalho 5 месяцев назад

nao sou da area necessariamente, mas a grande questão seria impedir que o banco de senhas seja acesso, mas entendo que caso ele seja acesso existe mais uma camada para dificultar. agora minha duvida é como senhas do google, uma gigante da TI, por exemplo, são vazadas com certa frequência

@nicolassouza2483 5 месяцев назад

Engenharia social sobre funcionários que possuem acesso ao banco de dados é um dos caminhos.

@noriller 5 месяцев назад

O melhor é não armazenar senha e por isso, se possível, fazer autenticação com email, outros serviços ou magic link. Esses serviços tem equipes inteiras pra lidar com segurança!

@jscomputadores1049 5 месяцев назад

eu uso c# e isso ja vem de fabrica kk nao precisa mudar nada, alem de vir com lockout 3 por padrao, logo 0 chances de quebra de senha por forca bruta, obvio que nunca deixo o banco exposto na internet, par isso servem apis não é mesmo

@thommy_80 5 месяцев назад

13:10 me falaram que python seria mais simples e limpo do que JS. 😢😢😢