Cifrado de contraseñas
Puede utilizar IBM® Security Directory Server para impedir el acceso no autorizado a las contraseñas de usuario. Mediante el uso de formatos de cifrado unidireccionales, las contraseñas de usuario se pueden cifrar y almacenar en el directorio. El cifrado impide que cualquier usuario y también los administradores del sistema puedan acceder a contraseñas claras.
El administrador puede configurar el servidor para cifrar los valores de atributo userPassword
en un formato de cifrado unidireccional o en un formato de cifrado bidireccional.
- Crypt
- MD5
- PBKDF2
- SHA-1
- Salted SHA-1
- SHA-2
- Salted SHA-2
Una vez configurado el servidor, las contraseñas nuevas (para los usuarios nuevos) o las contraseñas modificadas (para los usuarios existentes) se cifran antes de que se almacenen en la base de datos del directorio. Las contraseñas cifradas se etiquetan con el nombre del algoritmo de cifrado para que las contraseñas cifradas en distintos formatos puedan coexistir en el directorio. Cuando se cambia la configuración de cifrado, las contraseñas cifradas existentes permanecen sin cambios y siguen funcionando.
Para las aplicaciones que requieren la recuperación de contraseñas claras, como por ejemplo agentes de autenticación de nivel medio, el administrador de directorios debe configurar el servidor para realizar un cifrado bidireccional o ningún cifrado en las contraseñas de usuario. En este caso, las contraseñas claras que se almacenan en el directorio están protegidas por el mecanismo de ACL de directorio.
- AES
Se proporciona una opción de cifrado bidireccional, AES, para permitir que los valores del atributo userPassword
se cifren en el directorio y se recuperen como parte de una entrada en el formato claro original. Se puede configurar para utilizar longitudes de clave de 128, 192 y 256 bits. Algunas aplicaciones, como los servidores de autenticación de nivel medio, requieren que las contraseñas se recuperen en formato de texto simple, sin embargo, las políticas de seguridad corporativas pueden prohibir el almacenamiento de contraseñas claras en un almacenamiento permanente secundario. Esta opción satisface ambos requisitos.
Un enlace simple es satisfactorio si la contraseña proporcionada en la solicitud de enlace coincide con cualquiera de los varios valores del atributo userPassword
.
- Ninguna
- Sin cifrado. Las contraseñas se almacenan en formato de texto simple.
- Crypt
- Las contraseñas se cifran mediante el algoritmo de cifrado de cifrado UNIX antes de que se almacenen en el directorio.
- PBKDF2
- Las contraseñas se cifran mediante la familia PBKDF2 de algoritmos de cifrado antes de que se almacenen en el directorio. La lista siguiente describe los esquemas de cifrado soportados en la familia de algoritmos de cifrado PBKDF2 :
- PBKDF2-SHA1
- PBKDF2-SHA224
- PBKDF2-SHA256
- PBKDF2-SHA384
- PBKDF2-SHA512
Nota: No puede configurar el algoritmo PBKDF2 con la Herramienta de administración web. Configure este algoritmo con la operación de modificación ldap estándar. - MD5
- Las contraseñas se cifran mediante el algoritmo MD5 Message Digest antes de que se almacenen en el directorio.
- SHA-1
- Las contraseñas se cifran mediante el algoritmo de cifrado SHA-1 antes de que se almacenen en el directorio.
- Salted SHA-1
- Las contraseñas se cifran mediante el algoritmo de cifrado Salted SHA-1 antes de que se almacenen en el directorio.
- SHA-2
- Las contraseñas se cifran mediante la familia SHA-2 de algoritmo de cifrado antes de que se almacenen
en el directorio. Los esquemas de cifrado siguientes se admiten bajo la familia SHA-2 de algoritmo de cifrado:
- SHA-224
- SHA-256
- SHA-384
- SHA-512
- Salted SHA-2
- Las contraseñas se cifran mediante la familia SHA-2 de algoritmo de cifrado antes de que se almacenen
en el directorio. Los esquemas de cifrado siguientes se admiten bajo la familia Salted SHA-2 de algoritmo de cifrado:
- SSHA-224
- SSHA-256
- SSHA-384
- SSHA-512
- AES128
- Las contraseñas se cifran mediante el algoritmo AES128 antes de que se almacenen en el directorio y se recuperen como parte de una entrada en el formato de borrado original.
- AES192
- Las contraseñas se cifran mediante el algoritmo AES192 antes de que se almacenen en el directorio y se recuperen como parte de una entrada en el formato de borrado original.
- AES256
- Las contraseñas se cifran mediante el algoritmo AES256 antes de que se almacenen en el directorio y se recuperen como parte de una entrada en el formato de borrado original.
imask
que estaba disponible en releases anteriores ya no es una opción de cifrado. Sin embargo, los valores cifrados de imask
existentes siguen funcionando.ibm-SlapdPwEncryption: AES256
El archivo de configuración del servidor se encuentra en:<instance_directory>\etc\ibmslapd.conf
Además de userPassword
, los valores del atributo secretKey
siempre están "AES256" cifrados en el directorio. A diferencia de userPassword
, este cifrado se aplica para los valores de secretKey
. No se proporciona ninguna otra opción. El atributo secretKey
es un esquema definido por IBM. Las aplicaciones pueden utilizar este atributo para almacenar datos confidenciales que deben cifrarse siempre en el directorio y para recuperar los datos en formato de texto simple utilizando el control de acceso al directorio.
Consulte la sección Instalación y configuración en Documentación de IBM Security Directory Server para obtener información adicional sobre el archivo de configuración.
Para especificar el tipo de cifrado de contraseña, utilice uno de los métodos siguientes:
- Si se utiliza el método de cifrado UNIX, sólo serán efectivos los primeros 8 caracteres.
- Se puede utilizar una contraseña cifrada unidireccional para la coincidencia de contraseñas, pero no se puede descifrar. Durante el inicio de sesión del usuario, la contraseña de inicio de sesión se cifra y se compara con la versión almacenada para la verificación coincidente.