Criptografia de Senha

Editar on-line

Você pode usar IBM® Security Directory Server para evitar o acesso não autorizado a senhas de usuários. Usando formatos de criptografia unidirecional, as senhas de usuário podem ser criptografadas e armazenadas no diretório. A criptografia impede que senhas não criptografadas sejam acessadas por quaisquer usuários e administradores de sistemas.

O administrador pode configurar o servidor para criptografar os valores do atributo userPassword em um formato de criptografia unidirecional ou bidirecional.

Formatos de criptografia unidirecional:
  • crypt
  • MD5
  • SHA-1
  • Salted SHA-1
  • SHA-2
  • Salted SHA-2

Após o servidor ser configurado, quaisquer senhas novas (para novos usuários) ou modificadas (para usuários existentes) serão criptografadas antes de serem armazenadas no banco de dados de diretório. As senhas criptografadas são identificadas com o nome do algoritmo de criptografia para que as senhas criptografadas em formatos diferentes possam coexistir no diretório. Quando a configuração de criptografia muda, as senhas criptografadas existentes permanecem inalteradas e continuam funcionando.

Para aplicativos que requerem recuperação de senhas não criptografadas, como agentes de autenticação de camada intermediária, o administrador de diretório precisa configurar o servidor para executar uma criptografia bidirecional ou nenhuma criptografia nas senhas de usuários. Neste exemplo, as senhas não criptografadas que estão armazenadas no diretório estão protegidas pelo mecanismo ACL do diretório.

Formato de criptografia bidirecional:
  • AES

Uma opção de criptografia bidirecional, AES, é fornecida para permitir que os valores do atributo userPassword sejam criptografados no diretório e recuperados como parte de uma entrada no formato não criptografado original. Ela pode ser configurada para usar comprimentos de chave de 128, 192 e 256 bits. Alguns aplicativos, como servidores de autenticação de camada intermediária, requerem que senhas sejam recuperadas em formato de texto não criptografado, no entanto, políticas de segurança corporativa podem proibir o armazenamento de senhas não criptografadas em um armazenamento permanente secundário. Essa opção satisfaz ambos os requisitos.

Uma ligação simples será bem-sucedida se a senha fornecida na solicitação de ligação corresponder a diversos valores do atributo userPassword.

Ao configurar o servidor usando Web Administration, é possível selecionar uma das opções de criptografia a seguir:
Nenhum
Sem criptografia. As senhas são armazenadas no formato de texto apagado.
crypt
As senhas são criptografadas pelo algoritmo de criptografia de criptas UNIX antes de serem armazenadas no diretório.
MD5
As senhas são criptografadas pelo algoritmo MD5 Message Digest antes de serem armazenadas no diretório.
SHA-1
Senhas são criptografadas pelo algoritmo de criptografia SHA-1 antes de serem armazenadas no diretório.
Salted SHA-1
Senhas são criptografadas pelo algoritmo de criptografia Salted SHA-1 antes de serem armazenadas no diretório.
SHA-2
Senhas são criptografadas pela família de algoritmos de criptografia SHA-2 antes de serem armazenadas no diretório. Os esquemas de criptografia a seguir são suportados sob a família de algoritmos de criptografia SHA-2:
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512
Salted SHA-2
Senhas são criptografadas pela família de algoritmos de criptografia Salted SHA-2 antes de serem armazenadas no diretório. Os esquemas de criptografia a seguir são suportados sob a família de algoritmos de criptografia Salted SHA-2:
  • SSHA-224
  • SSHA-256
  • SSHA-384
  • SSHA-512
AES128
Senhas são criptografadas pelo algoritmo AES128 antes de serem armazenadas no diretório e são recuperadas como parte de uma entrada no formato não criptografado original.
AES192
Senhas são criptografadas pelo algoritmo AES192 antes de serem armazenadas no diretório e são recuperadas como parte de uma entrada no formato não criptografado original.
AES256
Senhas são criptografadas pelo algoritmo AES256 antes de serem armazenadas no diretório e são recuperadas como parte de uma entrada no formato não criptografado original.
Nota: o formato imask que estava disponível em liberações anteriores não é mais uma opção de criptografia. Entretanto, os valores criptografados imask existentes ainda funcionarão.
A opção padrão é AES256. Uma mudança é registrada em uma diretiva de criptografia de senha do arquivo de configuração do servidor:
ibm-SlapdPwEncryption: AES256
O arquivo de configuração do servidor está localizado em:
<instance_directory>\etc\ibmslapd.conf

Além de userPassword, valores do atributo secretKey são sempre "AES256" criptografados no diretório. Ao contrário de userPassword, essa criptografia é impingida para valores de secretKey. Nenhuma outra opção é fornecida. O atributo secretKey é um esquema definido pela IBM Aplicativos podem usar esse atributo para armazenar dados sensíveis que sempre precisam ser criptografados no diretório e para recuperar os dados em formato de texto não criptografado usando o controle de acesso ao diretório.

Consulte a seção Instalando o na IBM Security Directory Suite para obter informações adicionais sobre o arquivo de configuração.

Para especificar o tipo de criptografia de senha, use um dos métodos a seguir:

Nota:
  1. Se o método de cripta UNIX for usado, apenas os primeiros 8 caracteres são eficazes.
  2. É possível utilizar uma senha criptografada de forma unidirecional para a correspondência de senhas, mas ela não pode ser decriptografada. Durante o login de usuário, a senha de login é criptografada e comparada com a versão armazenada para verificação da correspondência.