Consejos para crear un sistema de autentificación.

Buenas, pido disculpas si este tema parece repetido pero lo que encontré no responde mi duda. Paso a explicar...

Estoy trabajando en un sitio web, el cual (como la mayoría hoy en día) requiere la validación de usuarios. La información de los usuarios es aquí demasiado relevante como para solo conformarme con lo que leo en internet (yo sin ser un amplio conocedor de php y demás) y mandarme a hacer un sistema de autentificación que en el futuro sea un juguete para niños exploradores con ansias de romper un ratito las pelotas.

En algún proyecto anterior, he armado un login de usuarios usando las session de php, pero lo que quiero saber en realidad, es si este metodo es seguro, o hay metodos mejores?

y en caso de que los haya, cuales serían (sin entrar en tanto detalle) para asi poder investigar?

En pocas palabras, necesito una pista de donde arrancar a investigar para hacer un sistema de autentificación lo suficientemente seguro como para ahorrar varios dolores de cabezas y garantizar un buen nivel de seguridad de los contenidos de mi sitio.

Saludos!

En lo personal uno $_ SESSION, me sumo al theard para leer los comentarios!

nadie que nos de una manito?

hahaha, el más clásico identificador es con el id del usuario y la contraseña, te recomiendo eso, pero también te debe faltar permisos por usuario, ósea si alguien logra entrar a tu sistema, solo las personas que tengan autorización del admin puedan ver cierta información, tampoco no sea tan tonto de poner id de usuario demasiados fáciles, como también las contraseñas, valida también que se puedan conectar un usuario por cuenta, maneja estados, también agrego que si se equivocan más de 3 veces al loquearse que se bloquee la cuenta, también puedes que en vez de pedir idUsuario + contraseña puedes pedir una pregunta secreta como una tercer parámetro de identificador. En si puedes agregarle muchos mecanismos de seguridad a tu sistema, solo es cuestión de creatividad.
Edito que al loquearse apártate de iniciar la sesión como digamos $_SESSION[‘miSession’] = $variable, puedas concatenar una variable alfanumérica autogenerada aleatoriamente para que en las demás paginas no solo preguntes que si la sesión exista, también preguntas que si la variable generada aleatoriamente coincida para que tengas algo mas seguro que una simple sesión.
Saludos de tu buen amigo Licarium.

En PHP6 de Wrox hablan sobre seguridad en registro y login de usuarios.


-------------------------------------

1.- Bueno el primer consejo es que no utilices ID como estos (1,2,4,5 ...,125, etc...)

Por que un cracker puede adivinar facilmente IDs de otros usuarios incluso lograr entrar como administrador.

2.- El segundo consejo es que no hagas sesión desde una cookie. Muchas veces nos gusta utilizar cookies para guardar sesiones, así cuando el usuario cierra el navegador y más tarde lo consulta (siempre y cuando el tiempo seteado para la cookie siga vigente) este usuario no necesitara volver a tipear sus datos para hacer login.

Esto es un tanto inseguro dependiendo de algunos factores.

Por ejemplo:
Yo ocupo mucho esto, pero solicito hacer login de nuevo si el usuario desea modificar sus datos o acceder a una página administrativa... etc....

Yo te recomiendo recorras libros buscando una sección de seguridad. Te digo que el de Wrox PHP6 lo tiene pero no conozco otros, tampoco he leido muchos..

Saludos.