¿Cómo deben almacenarse y manejarse las contraseñas de forma segura?

Question

Accepted Answer

Las contraseñas deben almacenarse de forma segura — **nunca en texto plano**, sino **hasheadas** con un algoritmo de hash de contraseña fuerte, lento y salado (bcrypt, Argon2, scrypt). El manejo adecuado de contraseñas es crítico porque las brechas de contraseñas son extremadamente dañinas y comunes.

## Nunca almacenar texto plano; hashear correctamente

```text
❌ NEVER store passwords in plaintext (a breach exposes all passwords directly)
❌ Don't use fast/general hashes (MD5, SHA-256) alone — too fast → easily brute-forced
✅ HASH with a dedicated PASSWORD HASHING algorithm: BCRYPT, ARGON2, or scrypt:
  → SLOW by design (resistant to brute-force/GPU cracking)
  → SALTED (a unique random salt per password) → prevents rainbow-table attacks and
    identical passwords hashing the same
```

```js
// hashing with bcrypt (handles salting automatically)
const hash = await bcrypt.hash(password, 12);   // store the hash (with salt + cost)
// verifying at login
const valid = await bcrypt.compare(inputPassword, storedHash);   // compare securely
```

## Por qué estos algoritmos

```text
SALT → unique random value per password → identical passwords get DIFFERENT hashes;
  defeats precomputed (rainbow table) attacks
SLOW (work factor) → deliberately expensive to compute → brute-forcing millions of
  guesses becomes impractical (tunable cost factor as hardware improves)
→ bcrypt/Argon2/scrypt are designed for passwords; general hashes (SHA) are NOT.
```

## Otras prácticas de contraseñas

```text
✓ Enforce reasonable strength (length over complexity); check against breached-password lists
✓ MULTI-FACTOR authentication (MFA) → strong protection even if a password leaks
✓ HTTPS for transmission; rate-limit / lock out brute-force login attempts
✓ Secure password RESET (time-limited tokens); never email passwords; never log them
```

## Por qué es importante

Comprender el almacenamiento seguro de contraseñas y su manejo es esencial porque **las brechas de contraseñas son extremadamente comunes y dañinas**, y el almacenamiento inadecuado de contraseñas es una vulnerabilidad seria y frecuente, por lo que es conocimiento de seguridad imprescindible.

Las reglas fundamentales son críticas: **nunca almacenar contraseñas en texto plano** (una brecha expondría directamente la contraseña de cada usuario — catastrófico), y **no depender de hashes generales rápidos** (MD5, SHA-256) que son demasiado rápidos y fácilmente forzados por fuerza bruta.

En su lugar, **hashear con algoritmos de hash de contraseña dedicados** (bcrypt, Argon2, scrypt) que son **lentos por diseño** (resistentes a fuerza bruta y ataques por GPU) y **salados** (una sal aleatoria única por contraseña, previniendo ataques de tabla arco iris y asegurando que contraseñas idénticas obtengan diferentes hashes).

Comprender **por qué estos algoritmos** — salado (derrotando ataques precomputados, haciendo que contraseñas idénticas se hasheen diferente) y lentitud/factor de trabajo (haciendo que la fuerza bruta masiva sea impráctica, con un costo ajustable conforme mejora el hardware) — explica el enfoque correcto versus los errores comunes (texto plano, hashes rápidos, sin sal).

Comprender **otras prácticas** — forzar fortaleza razonable (longitud sobre complejidad, verificar listas de contraseñas comprometidas), **MFA** (protección fuerte incluso si una contraseña se filtra), HTTPS para transmisión, limitación de velocidad en intentos de login, restablecimiento seguro de contraseña (tokens con límite de tiempo), y nunca registrar ni enviar contraseñas por correo — refleja seguridad de contraseñas integral.

El manejo de contraseñas es un área de alto riesgo donde los errores (almacenamiento en texto plano, hash débil) causan directamente brechas mayores, mientras que el manejo adecuado (hash salado fuerte y lento, MFA) protege significativamente a los usuarios.

Puesto que las brechas de contraseñas son comunes y dañinas y el almacenamiento inadecuado es una vulnerabilidad seria y frecuente, y puesto que comprender el almacenamiento seguro (nunca texto plano, hash lento y salado fuerte con bcrypt/Argon2) y las buenas prácticas (MFA, limitación de velocidad) es esencial para proteger a los usuarios, comprender el almacenamiento y manejo seguro de contraseñas es conocimiento de seguridad esencial e imprescindible — un área crítica y de alto riesgo donde el enfoque correcto (hash de contraseña dedicado, salado, MFA) previene las brechas de contraseñas catastrófica que el manejo inadecuado causa, conocimiento fundamental para cualquier desarrollador que maneje autenticación.