Aquí hay un desglose y algunos ejemplos comunes:
* Contraseñas del sistema operativo (Windows, MacOS, Linux): Cuando crea o cambia su contraseña de inicio de sesión para el sistema operativo de su computadora, el sistema operativo automáticamente hashes (cifra) la contraseña * antes de * almacenarla. La contraseña de texto sin formato nunca toca el medio de almacenamiento.
* Cuentas del sitio web (por ejemplo, Google, Facebook, Amazon): Cuando crea una cuenta en un sitio web o cambia su contraseña, el sitio web * debe * imponer inmediatamente su contraseña en el lado del servidor antes de guardarla en su base de datos. Los sitios web de buena reputación siguen esta práctica. El proceso ocurre transparentemente; No lo ves. Un sitio web * bueno * nunca almacena su contraseña en texto plano.
* bases de datos: Muchos sistemas de bases de datos proporcionan mecanismos para encriptar automáticamente datos, incluidas las contraseñas, en la creación o modificación. Los administradores de la base de datos pueden configurar estos ajustes.
* Contraseñas específicas de la aplicación: Si una aplicación (como un administrador de contraseñas, un programa de software, etc.) almacena contraseñas, * debe * cifrarlas automáticamente en la creación/modificación.
Consideraciones importantes:
* Cifrado versus hash: El término "cifrado" a menudo se usa libremente, pero en el contexto de la seguridad de la contraseña, Hashing es el término más preciso. El hash es una función * unidireccional *. No puede revertir fácilmente un hash para obtener la contraseña original. El cifrado, por otro lado, es generalmente * reversible * (con la clave correcta). Almacenar contraseñas como hashes es mucho más seguro porque incluso si una base de datos se ve comprometida, los atacantes no pueden recuperar fácilmente las contraseñas originales. Se reducen a ataques de fuerza bruta (probando muchas contraseñas y los haspan para ver si coinciden con el hash almacenado).
* Salting: Además del hash, un valor aleatorio de "sal" generalmente se agrega a cada contraseña antes del hashing. Esto hace que sea significativamente más difícil para los atacantes usar "tablas de arco iris" precomputadas u otras técnicas de cracking de contraseña.
* La importancia de los hashes fuertes: No todos los algoritmos de hashing son iguales. Los sistemas modernos deben usar algoritmos de hash fuertes y computacionalmente caros como:
* Argon2
* bcrypt
* Scrypt
* PBKDF2 (a menudo utilizado junto con HMAC-SHA256 u otras funciones hash seguras)
* La suposición de "debería": Es crucial comprender que si bien todos los sistemas anteriores *deberían *encriptar (hash) contraseñas automáticamente, no está *garantizado *. Las violaciones de seguridad ocurren debido a las malas prácticas.
En resumen: Si bien no todas las contraseñas están * garantizadas * para estar encriptadas automáticamente, los sistemas diseñados correctamente siempre deberían (y generalmente hacer) las contraseñas (hash) en la creación para proteger la seguridad del usuario. Los inicios de sesión del sistema operativo, las cuentas del sitio web y los sistemas de bases de datos son ejemplos principales de lugares donde espera que ocurra el hash de contraseña automática.