Cum ar trebui să fie stocate și gestionate parolele în mod securizat?

Question

Accepted Answer

Parolele trebuie stocate în mod securizat — **niciodată în text clar**, ci **hash-uate** cu un algoritm puternic, lent și sarat de hash-uire a parolelor (bcrypt, Argon2, scrypt). Gestionarea corectă a parolelor este critică deoarece încălcările de parole sunt extrem de dăunătoare și frecvente.

## Niciodată stocare în text clar; hash-uire corectă

```text
❌ NEVER store passwords in plaintext (a breach exposes all passwords directly)
❌ Don't use fast/general hashes (MD5, SHA-256) alone — too fast → easily brute-forced
✅ HASH with a dedicated PASSWORD HASHING algorithm: BCRYPT, ARGON2, or scrypt:
  → SLOW by design (resistant to brute-force/GPU cracking)
  → SALTED (a unique random salt per password) → prevents rainbow-table attacks and
    identical passwords hashing the same
```

```js
// hashing with bcrypt (handles salting automatically)
const hash = await bcrypt.hash(password, 12);   // store the hash (with salt + cost)
// verifying at login
const valid = await bcrypt.compare(inputPassword, storedHash);   // compare securely
```

## De ce acești algoritmi

```text
SALT → unique random value per password → identical passwords get DIFFERENT hashes;
  defeats precomputed (rainbow table) attacks
SLOW (work factor) → deliberately expensive to compute → brute-forcing millions of
  guesses becomes impractical (tunable cost factor as hardware improves)
→ bcrypt/Argon2/scrypt are designed for passwords; general hashes (SHA) are NOT.
```

## Alte practici de parolă

```text
✓ Enforce reasonable strength (length over complexity); check against breached-password lists
✓ MULTI-FACTOR authentication (MFA) → strong protection even if a password leaks
✓ HTTPS for transmission; rate-limit / lock out brute-force login attempts
✓ Secure password RESET (time-limited tokens); never email passwords; never log them
```

## De ce contează

Înțelegerea stocării și gestionării securizate a parolelor este esențială deoarece **încălcările de parole sunt extrem de frecvente și dăunătoare**, iar stocarea inadecvată a parolelor este o vulnerabilitate serioasă și frecventă, deci este cunoștințe de securitate obligatorii.

Regulile fundamentale sunt critice: **niciodată stocarea parolelor în text clar** (o încălcare ar expune direct parola fiecărui utilizator — catastrofal), și **nu te baza pe hash-uri generale rapide** (MD5, SHA-256) care sunt prea rapide și ușor de forța brută.

În schimb, **hash-uează cu algoritmi dedicați de hash-uire a parolelor** (bcrypt, Argon2, scrypt) care sunt **lenți prin design** (rezistenți la forța brută și la cracking GPU) și **sarati** (un salt aleatoriu unic per parolă, prevenind atacurile cu tabele curcubeu și asigurând că parolele identice obțin hash-uri diferite).

Înțelegerea **de ce acești algoritmi** — saratarea (înfrângerea atacurilor precomputate, făcând parolele identice să se hash-uiască diferit) și lentoarea/factorul de lucru (făcând forța brută în masă impracticabilă, cu un cost reglabil pe măsură ce hardware-ul se îmbunătățește) — explică abordarea corectă versus greșelile frecvente (text clar, hash-uri rapide, fără sare).

Înțelegerea **altor practici** — impunerea unei forțe rezonabile (lungime peste complexitate, verificarea listelor de parole compromise), **MFA** (protecție puternică chiar dacă o parolă se scurge), HTTPS pentru transmisie, limitarea ratei încercărilor de autentificare, resetare sigură a parolei (token-uri cu timp limitat), și niciodată înregistrare sau trimitere a parolelor prin email — reflectă securitatea cuprinzătoare a parolelor.

Gestionarea parolelor este o zonă cu mize mari unde greșelile (stocare în text clar, hash-uire slabă) cauzează direct breșe majore, în timp ce gestionarea corectă (hash-uire puternică sarata lentă cu bcrypt/Argon2, MFA) protejează semnificativ utilizatorii.

Deoarece încălcările de parole sunt frecvente și dăunătoare și stocarea inadecvată este o vulnerabilitate serioasă și frecventă, și deoarece înțelegerea stocării securizate (niciodată text clar, hash-uire puternică sarata lentă cu bcrypt/Argon2) și a bunelor practici (MFA, limitare de rată) este esențială pentru protejarea utilizatorilor, înțelegerea stocării și gestionării securizate a parolelor este esențială, cunoștințe obligatorii de securitate — o zonă critică și cu mize mari unde abordarea corectă (hash-uire dedicată a parolelor, saratare, MFA) previne breșele catastrofale de parole pe care le cauzează gestionarea inadecvată, cunoștințe fundamentale pentru orice dezvoltator care se ocupă de autentificare.