Eu sou pentester e já consegui fazer dump de diversos banco de diversos clientes. Já vi muita coisa, MD5, texto aberto etc. o que mais me impressionou positivamente foi quando as senhas estavam armazenadas em bcrypt com salting e aplicando uma força de trabalho 10, com exceção de uma das senhas que era admin, as demais não consegui decriptar e eu tentei diversas técnicas.

Casal CDF, pegando o gancho de segurança... Vocês poderiam fazer um "Mão no Código" falando sobre variáveis de ambiente. Como salvar senhas de admin sem deixar brechas. Qual o cuidado com o versionamento para não fazer o push com as senhas. etc. Seria uma boa, principalmente para iniciantes como eu. Abraços!!!

To aqui perdidinha, mas com o foco em aprender todo dia!!! Melhor coisa na vida foi encontrar vcs!❤

O universo é maravilhoso! No meio da aula de BD, saiu um vídeo de BD!!! Obrigado pelo vídeo!!!

Muito interessante! Trabalhei por alguns anos com o bom e velho MD5 em projetos legados. Hoje trabalho com BCrypt sem medo de ser feliz, mas claro, tomando todas as medidas de segurança necessárias para proteger nossos usuários!

muito obrigadoooo, e eles ainda mostraram como usar no node que é a tecnologia que uso pro back😍😍😍

Que legal! Sou novo no canal, mas nunca vi Vanessa com a mão no código. Excelente trabalho pessoal!

Muito legal trazer esse assunto a tona...muitas vezes seguindo o tutorial para uma outra funcionalidade, nos deparamos com o exemplo utilizando um algoritmo mais simples, apenas pra ter como exemplo. E dessa forma, acabamos imaginando que estamos seguros quando na verdade não.

Que vídeo incrível! Explicação super simples e em duas linguagens muito boas (inclusive as duas linguagens mais usadas no ambiente que trabalho). Estou em um processo de estudo sobre criptografia de alguns dados para cumprir regras da LGPD e isso me deu um norte muito bom sobre como começar! Parabéns pelo vídeo e muito sucesso para vocês

Parabéns 👏👏 ótima aula! Eu sempre quis saber como manipular de forma segura uma senha. 🙏

Estou pensando em fazer meu TCC focado em funções hash para armazenar senhas! Ainda não comecei, mas esse vídeo foi bem útil!

João Pessoa - PB aqui 💪🏻 ligadão no canal

Valeu pela aula!🥰

Muito legal o video, parabéns pelo conteúdo, esse assunto realmente é o tendão dos desenvolvedores no inicio da tela de login srsrsrsr

simplesmente sensacional !!!

Bom dia casal Dev muito alto astral. Estou estudando pra Full-Stack e estou exatamente nesta parte com o PostgreSQL. Já havia lido sobre o "Sanitize" e queria saber com vocês, baseado nesse exemplo, qual o melhor momento pra fazer isso ? Logo ao receber username e password no Front-End ou em ambos, Front-End e no Back-End novamente ? Amo demais seus canais e no "mão no código" já consigo entender muita coisa. Abraços. ..

Excelente conteúdo !

Muito bom o vídeo. Alguma dessas bibliotecas/pacotes mencionadas faz a verificação dos campos username e password para evitar SQL injection?

Para tudo que esse video é mega importante

Hostinger é melhor serviço que existe do segmento no Brasil! Nunca me deixou na mão, suporte e preços excelentes.

Vanessa disse que mesmo que dois usuários tenham a mesma senha o hash será diferente, nesse caso, se dois usuários tiverem a mesma senha como fazer a comparação??

eu faço bastante similar mas eu ainda uso um salt extra que eu gero e anexo a senha antes de enviar pro bcrypt

Aqui é plain text em csv no Github, super seguro

Tô aqui pensando, e se, junto da senha for armazenado o e-mail e username de forma embaralhada (por exemplo: divide a string de e-mail e x pedaços, a strings de username em outros tantos pedaços e por fim, a senha. Depois refaz a string que vai ser processada embaralhada), não ajuda na segurança? Adicionar um outro fator à "senha", como ano+mês+dia+hora+minutos+segundos, ajuda?

Eu uso hash que utiliza duas seeds que mescla a seed do projeto com alguns dados do cliente para gerar um sha1

"Salt é salto" foi tenso...

Belém/PA 👍

Boa tarde. Qual foi a impressão que vocês tiverem do Copilot, ajudou mais do que atrapalhou?

Isso deve ser perguntado sempre mas, qual é esse tema do VScode que vocês utilizam ?

Uma dica importante! O hash gasta processamento, então toda vez que aumenta a quantidade de vezes em que o password passa pelo hash, lembre-se disso, se for uma aplicação bem grande, irá gastar muito processamento, já que milhares de usarios vão acessar a aplicação.

Fiquei com uma dúvida... Para fazer esse hash, não seria necessário informar algum tipo de seed ou secret key para o bcript?

Coincidência, estou estudando a Web Crypto API do JS, para entender um pouco melhor sobre criptografia e não precisar de bibliotecas de terceiros, com ela é possível trabalhar com Hash, Hash de senha, criptografia simétrica e assimétrica. Arrisco a dizer qu depois de entender melhor como funciona é até mais fácil usar JS puro do que importar pacotes.

Opa, me tira uma dúvida? Eu já sei html css Javascript, sei Java(o puro,poo,estrutura de dados etc) banco de dados, git e git hub . Quality você indicaria para quem quer arrumar o primeiro emprego? Java com angular ou node com react?

Eu costumo utilizar o bcrypt mesmo, mas antes eu coloco uma hash configurada na env do meu backend de forma que apenas a minha aplicação conseguirá resolver, garantindo que se houver um roubo do banco as senhas estarão seguras

Pessoal, preciso muito da ajuda de vocês, atualmente estou cursando análise e desenvolvimento de sistemas. Já trabalhei como desenvolvedor RPA e atualmente sou desenvolvedor Python. Porém, estou sentindo que as matérias do curso são "básicas" demais. Por eu ter feito alguns cursos e pelas experiências, acabo que não aproveito muito do conteúdo. Diante disso, fiquei no interesse de migrar para o curso de segurança da informação, além de eu ter interesse nesse mundo, eu aproveitaria mais os conteúdos por ser tudo coisas novas que não estudei ainda e não quero chegar ao ponto de desanimar e querer cancelar a faculdade. Qual a opinião de vocês?

Vanessa e Gabriel, seu vídeos não podia ter chegado em melhor hora. Estou desenvolvendo uma lógica de autenticação com OAuth2 nesse exato momento. Só tenho uma dúvida, no caso vcs salvaram em Texto as senhas para a compatibilidade das duas aplicações. Caso eu fosse usar apenas o python, a senha poderia ser salva como BLOB no banco?

fiz um algoritmo de hash usando o sha 384, 30.000 iteracoes, salt e pepper, estou com duvidas para mudar para bcrypt

Muito obrigado!

Pessoal, alguém pode me ajudar? Qual seria o modo correto de estruturar um sistema de login no front usando react? Quais informações eu posso guardar na section e quais não? Como o back end deve responder? essas informações precisam ser enviadas como header de toda requisição para o back?

Jurava que quando o Gabriel disse os melhores comentários vão ganhar ele ia dizer bonés... 😂

Uma dúvida de principiante... Onde está o segredo no armazenamento dessas senhas no banco? Porque pelo ao menos pra min. Não enxerguei o que torna esse hash único. Porque o genSalt é gerado pelo código, e para descriptografar a senha ele usa a própria função da lib. Dúvida o que impede de alguém que tenha acesso ao banco, ou ter as senhas vazas usar o mesmo código para descriptografar?

Uso Sha256, e seguro ou devo mudar?

Achei que salt era de sal. Quanto maior o salt, mais salgadinha ficaria a senha

Poderia ter colocado a coluna com tipo bytea aí no python não precisaria utilizar a conversão pra utf8

nao sou da area necessariamente, mas a grande questão seria impedir que o banco de senhas seja acesso, mas entendo que caso ele seja acesso existe mais uma camada para dificultar. agora minha duvida é como senhas do google, uma gigante da TI, por exemplo, são vazadas com certa frequência

Já deixando like.

fiquei aliviado, eu já usava o bcrypt kkkkk pensei que iam falar para não usar.

Alguem me explica por favor esse conceito do return e o que ele faz? Eu meio q nao to vendo sentido por tras do return

Eu tenho que começar a estudar sobre segurança, alguém tem alguns sugestão de material?

O melhor é não armazenar senha e por isso, se possível, fazer autenticação com email, outros serviços ou magic link. Esses serviços tem equipes inteiras pra lidar com segurança!

Algum motivo para o password ser um TEXT no postgres?

Usando Salt + Pepper agora.

eu uso c# e isso ja vem de fabrica kk nao precisa mudar nada, alem de vir com lockout 3 por padrao, logo 0 chances de quebra de senha por forca bruta, obvio que nunca deixo o banco exposto na internet, par isso servem apis não é mesmo

13:10 me falaram que python seria mais simples e limpo do que JS. 😢😢😢

Sergipe

me pergunto o que aconteceria se eu colocasse ( ͡° ͜ʖ ͡°) , ¯\_(ツ)_/¯ ou até mesmo [̲̅$̲̅(̲̅5̲̅)̲̅$̲̅] como a senha....

nada deixo em txt mesmo, uhahahuhah !

MD5 é bom para gerar hash de arquivos, checksum, essas coisas... Senha aí parece delírio kk

jesus001 😂

1º A chegar SJC-SP - Presente!!!! Dica: Deveriam bonificar com algo quem chega 1º e dê like. Abraços