Alternativa a MD5

dezagus · #1 (**permalink**) 23/07/2012, 16:53

Estoy siguiendo las noticias de seguridad. Y al parecer MD5 no estan seguro como parece. Ya existen bases de dátos de MD5 y mediante colisiones se pueden resolver. Además, se puede utilizar la fuerza bruta de algo así de 1.000.000 por segundo de posibilidades en un equipo medianamente desente.

Por ello, estoy buscando una alternativa para protejer a mis usuarios. Los cuales no son muchos pero me parece importante.

Me dijeron que una alternativa es usar SHA con un salt. Ya con eso estamos para varios años más. Pero quería escuchar de mano de Ustedes algun sistema de encriptación que me recomienden para que me despreocupe por un tiempo largo.

Estaba pensando en algo así, lo probé en el local y en el hosting y funciona:

<?php

print bin2hex(mhash(MHASH_SHA256, "aencriptar"));

?>

El problema del salt es que no es tan dificil descubrirlo. Creo que sirve más que nada si se usa unicamente MD5.

¿Que opinan?

dezagus · #2 (**permalink**) 23/07/2012, 16:56

O quizás algo así:

Código PHP:

  
<?php 
 
print bin2hex(mhash(MHASH_SHA256,bin2hex(mhash(MHASH_SHA256,bin2hex(mhash(MHASH_SHA256, "aencriptar")))))); 
 
?>

ahaugas · #3 (**permalink**) 23/07/2012, 17:10

y porque no lo haces por varias capas ej

Código PHP:

Ver original$pass = "Mi password"                            //Tu password
 
// Comenzamos con la encriptacion a el estilo de D0SWAR. 
$pass_1 = md5 ($pass);              //Encriptacion nivel 1 
$pass_2 = crc32($pass_1);           //Encriptacion nivel 2
$pass_4 = crypt($pass_3);                   //Encriptacion nivel 3 
$pass_5 = sha1($pass_4);                    //Encriptacion nivel 4 
 
$new_pass = $pass_5;                          //El nuevo password

aunque mas niveles de encriptacion mas carga de servidor tienes, aunque SHA256 (SHA2) ya viene bastante segura, con un salt hash implementado valdria.

mas bien habria que proteger las consultas sql o a la base de datos que tengas y preepararlas para injecciones de codigos, sql, xss..... y por fuerza bruta.

tambien seria interesante recopilar los robots o arañas web no deseads en una lista y bloquear el acceso a los sitios.

es solo una observacion

dezagus · #4 (**permalink**) 23/07/2012, 17:34

Absolutamente, pero sí, vamos por partes como decia Freddy.

No creo que tenga problema con la carga del servidor ya que no existen demaciados registros que se hagan simultaneamente. Por ello, no veo problema en tu sistema.

dezagus · #5 (**permalink**) 23/07/2012, 17:49

Cita:

Iniciado por ahaugas

y porque no lo haces por varias capas ej

Código PHP:

Ver original$pass = "Mi password"                            //Tu password
 
// Comenzamos con la encriptacion a el estilo de D0SWAR. 
$pass_1 = md5 ($pass);              //Encriptacion nivel 1 
$pass_2 = crc32($pass_1);           //Encriptacion nivel 2
$pass_4 = crypt($pass_3);                   //Encriptacion nivel 3 
$pass_5 = sha1($pass_4);                    //Encriptacion nivel 4 
 
$new_pass = $pass_5;                          //El nuevo password

aunque mas niveles de encriptacion mas carga de servidor tienes, aunque SHA256 (SHA2) ya viene bastante segura, con un salt hash implementado valdria.

mas bien habria que proteger las consultas sql o a la base de datos que tengas y preepararlas para injecciones de codigos, sql, xss..... y por fuerza bruta.

tambien seria interesante recopilar los robots o arañas web no deseads en una lista y bloquear el acceso a los sitios.

es solo una observacion

Genera diferentes hashes cada ves que lo ejecuto. Y al parecer es crypt()

Creo que lo dejaré así:

Código PHP:

   
function megacript($pass){ 
    $pass_1 = md5($pass);        //Encriptacion nivel 1  
    $pass_2 = crc32($pass_1);     //Encriptacion nivel 2 
    $pass_3 = sha1($pass_2);      //Encriptacion nivel 4  
    return $pass_3; 
} 
 
echo megacript("hola");

carlos_belisario · #6 (**permalink**) 23/07/2012, 18:05

es que es algo relativo, según tengo entendido (no me crean ya que son cosas que uno lee en el camino) depende de como lo hagas, si lo que vas a hacer es un simple

Código PHP:

Ver original$password = md5($password);

si es un poco mas simple, pero si le agregas unas cuantas cositas como un security salt, el username y algunas cosas más creo que se hace un poco más complicado hacer el force (aunque no imposible).

Código PHP:

Ver originalpublic function setPassword($password, $salt = true)
 {
     if(true === $salt) {
         $this->password = md5($this->getUser().$password.$this->getSecuritySalt());
     } else {
         $this->password = md5($this->getUser().$password);
     }
}

y por supuesto en el securitySalt algo un tanto largo XD.

claro es cuestión de gustos, colores y lo

que seas con la parte de la seguridad de la contraseña (que es bueno ser

), saludos

ahaugas · #7 (**permalink**) 23/07/2012, 19:46

ten en cuenta que al igual que lo encriptas, luego tienes que seguir los mismos pasos para hacer las comprobaciones de claves y validar el usuario para que pueda entrar.

sino por mucho que se encripta y luego no se comprueban las claves correctamente nunca va a poder ingresar.

@carlos_belisario

esta muy bien explicado

si me permites yo aparte le agregaria tambien la opcion null si no se pasa nada o si es 0
y no comprobar por comprobar o generar

Código PHP:

Ver originalpublic function setPassword($password=NULL, $salt = true)
    {       
        if($password!=NULL) 
        {  
             if(true === $salt) {
                 $this->password = md5($this->getUser().$password.$this->getSecuritySalt());
             } else {
                 $this->password = md5($this->getUser().$password);
             }
        }
        else
        {
          return false;
        }
        
    }

pero me gusta, yo estoy aprendiendo todavia POO y poco a poco voy sacando cosas