La seguridad es importante para nosotros, aquí en Couchbase. Me gustaría llamar tu atención sobre una nueva característica de seguridad en Couchbase 4.5 que podría pasar desapercibida: SCRAM-SHA (pronunciado como 'scram-shaw').
(Imagen de Scram con licencia de Create Commons vía Michael Pereckas)
SCRAM (Mecanismo de autenticación de respuesta con sal) es una forma de autenticar a un usuario basada en una contraseña. Proporciona seguridad adicional contra ataques de fuerza bruta, en el caso de que tus servidores se vean comprometidos. Las versiones anteriores de Couchbase utilizaban un esquema de inicio de sesión CRAM-MD5, que son más vulnerables a este tipo de ataques.
Encontré un gran libro blanco que resume SCRAM y sus ventajas sobre CRAM-MD5. Mi resumen de ese resumen sobre cómo SCRAM es una mejora:
- SCRAM especifica un formato para un secreto: valor de datos hash, valor de sal, recuento de iteraciones
- Este secreto por sí solo no puede utilizarse para engañar al sistema de autenticación.
- SCRAM intercambia elementos hash entre cliente y servidor, que no pueden "reproducirse".
- SCRAM puede utilizarse con cualquier algoritmo hash (como SHA1)
Entonces, ¿qué tengo que hacer para utilizar SCRAM-SHA?
Actualiza a Couchbase 4.5. El SDK (cuando sea aplicable-no todos los SDKs lo soportan todavía) se encargará de los detalles. Usará SCRAM-SHA si puede, y volverá a CRAM-MD5 si estás ejecutando una versión anterior de Couchbase. Se recomienda usar TLS para maximizar la seguridad.
Una cosa más: SCRAM soporta muchos algoritmos hash. Couchbase Server soporta SHA1, SHA-256 y SHA-512. El SDK elige el "más alto", por lo que siempre se utiliza SHA-512.
Esa es la introducción rápida. ¿Alguna pregunta? Deja un comentario o haz una pregunta en el Foros de Couchbase
