autenticación
4 artículos con esta etiqueta
¿Qué es una passkey (clave de acceso)? Inicio de sesión sin contraseña y sin nada que robar
Una passkey es un inicio de sesión sin secreto compartido. Tu dispositivo firma con una clave privada más datos biométricos y el servidor solo guarda la clave pública correspondiente. Así una fuga no se puede aprovechar, y la firma está ligada al dominio: no se completa en un sitio falso, lo que la hace estructuralmente resistente al phishing. Más segura que contraseña + código SMS; migra primero las cuentas importantes.
¿Qué es el hashing de contraseñas? Almacenar contraseñas con seguridad mediante una transformación de un solo sentido
El hashing de contraseñas consiste en almacenar una contraseña como una transformación de un solo sentido e irreversible. Nunca guardes texto plano. A diferencia del cifrado, no puedes descifrarla de vuelta: ese es el objetivo. Pero MD5/SHA-256 a secas caen ante tablas arcoíris y fuerza bruta. La solución: una sal por usuario más un hash deliberadamente lento (bcrypt/Argon2/scrypt). No lo programes tú mismo; usa la función estándar.
Cómo guardar contraseñas con seguridad — la forma correcta de aplicar hash y salt
Una guía práctica para guardar contraseñas con seguridad en el servidor. Entiende por qué el texto plano, el cifrado y los hashes simples fallan todos, y luego converge en una respuesta: un salt por usuario más un hash deliberadamente lento (Argon2id recomendado, bcrypt/scrypt como alternativas). No lo inventes tú — usa la función estándar, sube el coste con el tiempo y migra los hashes débiles re-hasheando al iniciar sesión.
¿Qué es un JWT (JSON Web Token)? Cómo funciona el pase firmado y cómo usarlo de forma segura
Un JWT es un 'pase' a prueba de manipulación que un servidor emite firmándolo. Tiene tres partes —encabezado.carga útil.firma— y el servidor verifica la firma para confirmar su autenticidad. Cuidado con: (1) verifica siempre la firma y fija el alg esperado (rechaza alg:none); (2) cualquiera puede leer el contenido, así que no pongas secretos en él; (3) mantén la expiración corta y ten una estrategia de revocación. Decodificar (leer) y verificar (comprobar la autenticidad) son cosas distintas.