Cifrado de contraseñas

Puede utilizar IBM® Security Directory Server para impedir el acceso no autorizado a las contraseñas de usuario. Mediante el uso de formatos de cifrado unidireccionales, las contraseñas de usuario se pueden cifrar y almacenar en el directorio. El cifrado impide que cualquier usuario y también los administradores del sistema puedan acceder a contraseñas claras.

El administrador puede configurar el servidor para cifrar los valores de atributo userPassword en un formato de cifrado unidireccional o en un formato de cifrado bidireccional.

Formatos de cifrado unidireccional:
  • Crypt
  • MD5
  • PBKDF2
  • SHA-1
  • Salted SHA-1
  • SHA-2
  • Salted SHA-2

Una vez configurado el servidor, las contraseñas nuevas (para los usuarios nuevos) o las contraseñas modificadas (para los usuarios existentes) se cifran antes de que se almacenen en la base de datos del directorio. Las contraseñas cifradas se etiquetan con el nombre del algoritmo de cifrado para que las contraseñas cifradas en distintos formatos puedan coexistir en el directorio. Cuando se cambia la configuración de cifrado, las contraseñas cifradas existentes permanecen sin cambios y siguen funcionando.

Para las aplicaciones que requieren la recuperación de contraseñas claras, como por ejemplo agentes de autenticación de nivel medio, el administrador de directorios debe configurar el servidor para realizar un cifrado bidireccional o ningún cifrado en las contraseñas de usuario. En este caso, las contraseñas claras que se almacenan en el directorio están protegidas por el mecanismo de ACL de directorio.

Formato de cifrado bidireccional:
  • AES

Se proporciona una opción de cifrado bidireccional, AES, para permitir que los valores del atributo userPassword se cifren en el directorio y se recuperen como parte de una entrada en el formato claro original. Se puede configurar para utilizar longitudes de clave de 128, 192 y 256 bits. Algunas aplicaciones, como los servidores de autenticación de nivel medio, requieren que las contraseñas se recuperen en formato de texto simple, sin embargo, las políticas de seguridad corporativas pueden prohibir el almacenamiento de contraseñas claras en un almacenamiento permanente secundario. Esta opción satisface ambos requisitos.

Un enlace simple es satisfactorio si la contraseña proporcionada en la solicitud de enlace coincide con cualquiera de los varios valores del atributo userPassword .

Al configurar el servidor utilizando Web Administration, puede seleccionar una de las siguientes opciones de cifrado:
Ninguna
Sin cifrado. Las contraseñas se almacenan en formato de texto simple.
Crypt
Las contraseñas se cifran mediante el algoritmo de cifrado de cifrado UNIX antes de que se almacenen en el directorio.
PBKDF2
Las contraseñas se cifran mediante la familia PBKDF2 de algoritmos de cifrado antes de que se almacenen en el directorio. La lista siguiente describe los esquemas de cifrado soportados en la familia de algoritmos de cifrado PBKDF2 :
  • PBKDF2-SHA1
  • PBKDF2-SHA224
  • PBKDF2-SHA256
  • PBKDF2-SHA384
  • PBKDF2-SHA512
Nota: No puede configurar el algoritmo PBKDF2 con la Herramienta de administración web. Configure este algoritmo con la operación de modificación ldap estándar.
MD5
Las contraseñas se cifran mediante el algoritmo MD5 Message Digest antes de que se almacenen en el directorio.
SHA-1
Las contraseñas se cifran mediante el algoritmo de cifrado SHA-1 antes de que se almacenen en el directorio.
Salted SHA-1
Las contraseñas se cifran mediante el algoritmo de cifrado Salted SHA-1 antes de que se almacenen en el directorio.
SHA-2
Las contraseñas se cifran mediante la familia SHA-2 de algoritmo de cifrado antes de que se almacenen en el directorio. Los esquemas de cifrado siguientes se admiten bajo la familia SHA-2 de algoritmo de cifrado:
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512
Salted SHA-2
Las contraseñas se cifran mediante la familia SHA-2 de algoritmo de cifrado antes de que se almacenen en el directorio. Los esquemas de cifrado siguientes se admiten bajo la familia Salted SHA-2 de algoritmo de cifrado:
  • SSHA-224
  • SSHA-256
  • SSHA-384
  • SSHA-512
AES128
Las contraseñas se cifran mediante el algoritmo AES128 antes de que se almacenen en el directorio y se recuperen como parte de una entrada en el formato de borrado original.
AES192
Las contraseñas se cifran mediante el algoritmo AES192 antes de que se almacenen en el directorio y se recuperen como parte de una entrada en el formato de borrado original.
AES256
Las contraseñas se cifran mediante el algoritmo AES256 antes de que se almacenen en el directorio y se recuperen como parte de una entrada en el formato de borrado original.
Nota: El formato imask que estaba disponible en releases anteriores ya no es una opción de cifrado. Sin embargo, los valores cifrados de imask existentes siguen funcionando.
La opción predeterminada es AES256. Se registra un cambio en una directiva de cifrado de contraseñas del archivo de configuración del servidor:
ibm-SlapdPwEncryption: AES256
El archivo de configuración del servidor se encuentra en:
<instance_directory>\etc\ibmslapd.conf 

Además de userPassword, los valores del atributo secretKey siempre están "AES256" cifrados en el directorio. A diferencia de userPassword, este cifrado se aplica para los valores de secretKey. No se proporciona ninguna otra opción. El atributo secretKey es un esquema definido por IBM. Las aplicaciones pueden utilizar este atributo para almacenar datos confidenciales que deben cifrarse siempre en el directorio y para recuperar los datos en formato de texto simple utilizando el control de acceso al directorio.

Consulte la sección Instalación y configuración en Documentación de IBM Security Directory Server para obtener información adicional sobre el archivo de configuración.

Para especificar el tipo de cifrado de contraseña, utilice uno de los métodos siguientes:

Nota:
  1. Si se utiliza el método de cifrado UNIX, sólo serán efectivos los primeros 8 caracteres.
  2. Se puede utilizar una contraseña cifrada unidireccional para la coincidencia de contraseñas, pero no se puede descifrar. Durante el inicio de sesión del usuario, la contraseña de inicio de sesión se cifra y se compara con la versión almacenada para la verificación coincidente.