¿Cual es el método mas seguro de encriptacion actual?

Leidos los manuales de sessiones de cain y neferteti me aventuré a crear un sistema de autentificacion de usuarios para mi sitio, pero me surge una pregunta.

¿Yo puedo encriptar el valor de la variable de session con alguná libreria de php o algo que genere una clave y luego la compare con la encriptada en la base de datos?

La verdad me provoca mucha duda esto porque entonces si una "mala persona" le da por desencriptar la clave ¿tendrá acceso?.

Uff que lio.

Lo que más se suele utilizar (al menos hasta donde yo sé) es un sistema de encriptación de una sola vía, es decir, que no se pueda desencriptar. En la BDD estaría el campo encriptado y para loguearte se hace la comparación de los hashes (cadenas encriptadas).

Por supuesto es vulnerable, pero unido a una buena programación (o más bien a un buen diseño del sistema) lo hace la opción más segura. Siempre a mi entender, claro.

Hola sk1one. Yo personalmente utilizo md5, és un algoritmo de encriptación de sentido único, o sea, una vez encriptado no se puede desencriptar. Lo que preguntas si que se puede hacer y no hay ningún problema. Sobre la posibilidad de que alguien consiga desencriptar una contraseña en MD5, la verdad lo veo muy difícil..de momento no he sabido de nadie que lo haya conseguido.
Un saludo.

Bueno, siempre hay "peros", en éste caso, aunque no se pueda desencriptar siempre hay ataques de diccionario y fuerza bruta. Si la contraseña es "hola", en dos segundos ya está sacada.

Además también se podría interceptar el tráfico hacía el servidor (aunque es más complicado).

Se pueden combinar otro tipo de comprobaciones, como utilizar variables de sesión, comprobar de dónde procedes los datos, etc... Por supuesto también se puede encapsular todo el tráfico en HTTP seguro. Todo es plantearse lo crítica que es la aplicación y el nivel de paranoia de cada uno.

Y seguramente habrá muchos más métodos y más eficaces, que no estoy muy versado en ese tema.

O en dado caso es jugar con la encriptacion como lo hace vBulletin en los passwords:
Así es mucho mas complicado, ya que para hacer un ataque de diccionario necesitarías conseguir el salt que se uso para encriptar (y ese por lo general no se le da al usuario).

Saludos.

No es mala opción, se me había ocurrido aplicar una encriptación básica al hash encriptado, cuya clave de cifrado sólo aparezca en el script, pero parece más elegante lo que comentas...

Es un debate interesante, siempre he querido ponerme al día en esos temas.

Ajam este tema da de que hablar eeee, bien a mi la encriptacion md5 me ha parecido buena idea, pero claro yo esa clave la compararia con la contraseña del usuario de la base de datos que tanto clave md5 como la del usuario estarian relacionada en la base de datos no?

Bueno como comentan md5 es un sistema de encriptacion de una sola via, se ha dado de paginas que tratan de crear una base de datos con los hash para cada palabra, algo realmente poco util, ya que existen muchas combinaciones alomas podran guardar las palabras mas comunes como contraseña, como "abcde", "123456", etc, etc.

Lo que se puede hacer es tratar de usar fuerza bruta para encontrar la combinacion del password, pero toma mucho tiempo el que depende de la fortaleza de tu clave.

Lo que simpre es conveniente es usar un sistema en el logue que te permita solo 5 oportunidades y luego esperar un tiempo 10,15 min o el que se quiera.

Estoy de acuerdo, pero los ataques de diccionario no tratan de tener una base de datos los hash, sino tener un fichero de texto con miles de palabras y crear un programa que vaya leyendo dicho fichero, encripte la cadena a MD5 y lo compare con el hash que se quiere reventar. Y eso es bastante rápido, por eso no se recomienda usar palabras comunes en las contraseñas, alternarlas con números, signos, mayúsculas y minúsculas, etc...