A segurança é importante para nós, aqui na Couchbase. Gostaria de chamar sua atenção para um novo recurso de segurança no Couchbase 4.5 que, de outra forma, poderia passar despercebido: SCRAM-SHA (pronunciado como 'scram-shaw').
(Imagem do Scram licenciada pelo Create Commons via Michael Pereckas)
SCRAM (Mecanismo de autenticação de resposta de desafio com sal) é uma forma baseada em senha de autenticar um usuário. Ele oferece segurança adicional contra ataques de força bruta, caso seus servidores sejam comprometidos. As versões anteriores do Couchbase usavam um esquema de login CRAM-MD5, que é mais vulnerável a esses ataques.
Encontrei um ótimo white paper que resume a SCRAM e seus benefícios em relação ao CRAM-MD5. Meu resumo desse resumo sobre como a SCRAM é uma melhoria:
- A SCRAM especifica um formato para um segredo: valor de dados com hash, valor de sal, contagem de iteração
- Esse segredo, por si só, não pode ser usado para enganar o sistema de autenticação
- A SCRAM troca itens com hash entre o cliente e o servidor, que não podem ser "reproduzidos"
- A SCRAM pode ser usada com qualquer algoritmo de hash (como SHA1)
Então, o que preciso fazer para usar o SCRAM-SHA?
Atualize para o Couchbase 4.5. O SDK (quando aplicável - nem todos os SDKs oferecem suporte a isso ainda) cuidará dos detalhes. Ele usará o SCRAM-SHA, se possível, e voltará para o CRAM-MD5 se você estiver executando uma versão mais antiga do Couchbase. O uso do TLS ainda é recomendado para maximizar a segurança.
Mais uma coisa: o SCRAM é compatível com vários algoritmos de hash. O Couchbase Server é compatível com SHA1, SHA-256 e SHA-512. O SDK escolhe o "mais alto", portanto, o SHA-512 é sempre usado.
Essa é a introdução rápida! Tem alguma dúvida? Deixe um comentário ou faça uma pergunta na seção Fóruns do Couchbase