A segurança é importante para nós, aqui na Couchbase. Gostaria de chamar sua atenção para um novo recurso de segurança no Couchbase 4.5 que, de outra forma, poderia passar despercebido: SCRAM-SHA (pronunciado como 'scram-shaw').

 

Scram! Licensed through Create Commons via Michael Pereckas - https://www.flickr.com/people/53332339@N00

 

(Imagem do Scram licenciada pelo Create Commons via Michael Pereckas)

SCRAM (Mecanismo de autenticação de resposta de desafio com sal) é uma forma baseada em senha de autenticar um usuário. Ele oferece segurança adicional contra ataques de força bruta, caso seus servidores sejam comprometidos. As versões anteriores do Couchbase usavam um esquema de login CRAM-MD5, que é mais vulnerável a esses ataques.

Encontrei um ótimo white paper que resume a SCRAM e seus benefícios em relação ao CRAM-MD5. Meu resumo desse resumo sobre como a SCRAM é uma melhoria:

  • A SCRAM especifica um formato para um segredo: valor de dados com hash, valor de sal, contagem de iteração
  • Esse segredo, por si só, não pode ser usado para enganar o sistema de autenticação
  • A SCRAM troca itens com hash entre o cliente e o servidor, que não podem ser "reproduzidos"
  • A SCRAM pode ser usada com qualquer algoritmo de hash (como SHA1)

 

Então, o que preciso fazer para usar o SCRAM-SHA?

Atualize para o Couchbase 4.5. O SDK (quando aplicável - nem todos os SDKs oferecem suporte a isso ainda) cuidará dos detalhes. Ele usará o SCRAM-SHA, se possível, e voltará para o CRAM-MD5 se você estiver executando uma versão mais antiga do Couchbase. O uso do TLS ainda é recomendado para maximizar a segurança.

Mais uma coisa: o SCRAM é compatível com vários algoritmos de hash. O Couchbase Server é compatível com SHA1, SHA-256 e SHA-512. O SDK escolhe o "mais alto", portanto, o SHA-512 é sempre usado.

Essa é a introdução rápida! Tem alguma dúvida? Deixe um comentário ou faça uma pergunta na seção Fóruns do Couchbase

Autor

Postado por Matthew Groves

Matthew D. Groves é um cara que adora programar. Não importa se é C#, jQuery ou PHP: ele enviará solicitações de pull para qualquer coisa. Ele tem programado profissionalmente desde que escreveu um aplicativo de ponto de venda QuickBASIC para a pizzaria de seus pais nos anos 90. Atualmente, ele trabalha como gerente sênior de marketing de produtos da Couchbase. Seu tempo livre é passado com a família, assistindo aos Reds e participando da comunidade de desenvolvedores. Ele é autor de AOP in .NET, Pro Microservices in .NET, autor da Pluralsight e Microsoft MVP.

Deixar uma resposta