Supporto Bcrypt per le password

Lasicurezza è un tema fondamentale per i sistemi di soluzioni aziendali di oggi. Noi di 4D ne comprendiamo l’importanza ed è per questo che continuiamo a fornire funzionalità che affrontano questo tema.

Con 4D v19 R3, 4D utilizza ora un algoritmo di hashing più potente per le password degli utenti. Scopriamone di più!

Salutate l’algoritmo bcrypt

In poche parole, tutte le password sono ora sottoposte a hashing con l’algoritmo bcrypt invece che con quello tradizionale basato su MD5. 4D permetteva già di utilizzare bcrypt per il login sul web, come descritto in questo post. Per questo motivo abbiamo deciso di utilizzare lo stesso algoritmo per l’autenticazione in 4D. L’obiettivo è migliorare la sicurezza dei file di directory. Un calcolo a forza bruta su una password forte, sottoposta a hashhed con bcrypt, richiede decine di anni per avere successo!

Come implementarlo?

Non è necessario toccare alcuna impostazione o riga di codice. Quando la password viene cambiata nella casella degli strumenti o utilizzando il comando CHANGE PASSWORD o Set user properties viene memorizzato l’hash di bcrypt al posto di quello precedente. E durante l’autenticazione, 4D riconosce automaticamente se la password è memorizzata con hash legacy o bcrypt, in modo che gli utenti continuino a connettersi senza cambiare la password! Quindi, per sfruttare questo nuovo algoritmo e migliorare la sicurezza, basta dire agli utenti di cambiare la password.

Importante: tenete presente che se modificate le password con 4D v19R3 o successive, il ritorno alle versioni precedenti causerà il rifiuto dell’autenticazione. Fate attenzione, soprattutto alla modifica delle password di Designer e Amministratore. Non dimenticate quindi di eseguire un backup (del file 4DB per i database binari o del file directory.json per i progetti) prima di passare alla nuova versione!

Infine, ricordate che per migliorare la sicurezza è necessario fare attenzione alle fughe di dati e utilizzare password uniche e forti.