Sería mejor cumplir con los estándares de la industria aquí cuando se trata de las contraseñas de las personas. Usted no solo es responsable de asegurarlos, sino que también lo es por ley. Puede ser demandado si sale mal.
La mejor oportunidad de hacer esto y permanecer algo seguro es si necesita al menos una contraseña de 12 caracteres, y en el formulario frontal tiene un algoritmo que elimina todos menos 4 caracteres (el algoritmo en JavaScript también puede ser de código abierto, usted no puede ofuscarlo lo suficiente como para detener a alguien que está decidido).
El uso de solo 4 caracteres como contraseña que se envía / almacena en el servidor en lugar de la contraseña completa ayudará a mantener segura su contraseña verdadera (que probablemente usan para todas sus cuentas) pero lo abre a ataques de fuerza bruta.
- ¿Qué herramientas usan los diseñadores web para el diseño web rápido?
- ¿Debo usar API para mi sitio web?
- ¿Cuál es la función de la etiqueta en HTML 5? ¿Cuáles son los efectos de no usarlo?
- ¿Qué sitios web utilizan actualmente metaetiquetas de esquema?
- ¿Cuál es la mejor manera de aprender Bootstrap?
Aún debe mezclar esos 4 caracteres y asegurarse de limitar los intentos de inicio de sesión a 2 intentos y bloquear la cuenta de todas las IP que intentan iniciar sesión después de un error, excepto aquellas IP que se han conectado correctamente en el pasado.
Cree un perfil de dispositivo (hay una gran cantidad de información que puede rastrear de un usuario para crear una identificación única del sistema en el que se encuentra) de esos inicios de sesión exitosos para que pueda darles margen en el futuro si su IP cambia. Una cuenta seguirá siendo forzada en el transcurso de unos meses, a menos que también implemente una autenticación de dos pasos con SMS o solo permita los inicios de sesión por ip.
Después de todo eso, coloque su servidor en una caja cerrada y bótelo en el océano. Pero en serio … no lo hagas.