Foros del Web » Programación web » PHP »

¿Cual es el método mas seguro de encriptacion actual?

Estas en el tema de ¿Cual es el método mas seguro de encriptacion actual? en el foro de PHP en Foros del Web. Leidos los manuales de sessiones de cain y neferteti me aventuré a crear un sistema de autentificacion de usuarios para mi sitio, pero me surge ...
  #1 (permalink)  
Antiguo 18/12/2007, 04:56
 
Fecha de Ingreso: diciembre-2007
Mensajes: 149
Antigüedad: 6 años, 4 meses
Puntos: 1
¿Cual es el método mas seguro de encriptacion actual?

Leidos los manuales de sessiones de cain y neferteti me aventuré a crear un sistema de autentificacion de usuarios para mi sitio, pero me surge una pregunta.

¿Yo puedo encriptar el valor de la variable de session con alguná libreria de php o algo que genere una clave y luego la compare con la encriptada en la base de datos?

La verdad me provoca mucha duda esto porque entonces si una "mala persona" le da por desencriptar la clave ¿tendrá acceso?.

Uff que lio.
  #2 (permalink)  
Antiguo 18/12/2007, 05:08
 
Fecha de Ingreso: noviembre-2002
Mensajes: 1.341
Antigüedad: 11 años, 5 meses
Puntos: 17
Re: ¿Cual es el método mas seguro de encriptacion actual?

Lo que más se suele utilizar (al menos hasta donde yo sé) es un sistema de encriptación de una sola vía, es decir, que no se pueda desencriptar. En la BDD estaría el campo encriptado y para loguearte se hace la comparación de los hashes (cadenas encriptadas).

Por supuesto es vulnerable, pero unido a una buena programación (o más bien a un buen diseño del sistema) lo hace la opción más segura. Siempre a mi entender, claro.
  #3 (permalink)  
Antiguo 18/12/2007, 05:14
 
Fecha de Ingreso: noviembre-2006
Mensajes: 437
Antigüedad: 7 años, 5 meses
Puntos: 3
Re: ¿Cual es el método mas seguro de encriptacion actual?

Hola sk1one. Yo personalmente utilizo md5, és un algoritmo de encriptación de sentido único, o sea, una vez encriptado no se puede desencriptar. Lo que preguntas si que se puede hacer y no hay ningún problema. Sobre la posibilidad de que alguien consiga desencriptar una contraseña en MD5, la verdad lo veo muy difícil..de momento no he sabido de nadie que lo haya conseguido.
Un saludo.
  #4 (permalink)  
Antiguo 18/12/2007, 05:24
 
Fecha de Ingreso: noviembre-2002
Mensajes: 1.341
Antigüedad: 11 años, 5 meses
Puntos: 17
Re: ¿Cual es el método mas seguro de encriptacion actual?

Bueno, siempre hay "peros", en éste caso, aunque no se pueda desencriptar siempre hay ataques de diccionario y fuerza bruta. Si la contraseña es "hola", en dos segundos ya está sacada.

Además también se podría interceptar el tráfico hacía el servidor (aunque es más complicado).

Se pueden combinar otro tipo de comprobaciones, como utilizar variables de sesión, comprobar de dónde procedes los datos, etc... Por supuesto también se puede encapsular todo el tráfico en HTTP seguro. Todo es plantearse lo crítica que es la aplicación y el nivel de paranoia de cada uno.

Y seguramente habrá muchos más métodos y más eficaces, que no estoy muy versado en ese tema.
  #5 (permalink)  
Antiguo 18/12/2007, 07:59
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/gdl/
Mensajes: 38.500
Antigüedad: 7 años, 10 meses
Puntos: 2099
Re: ¿Cual es el método mas seguro de encriptacion actual?

O en dado caso es jugar con la encriptacion como lo hace vBulletin en los passwords:
Código PHP:
$password md5md5$salt ) . md5$input_password ) ); 
Así es mucho mas complicado, ya que para hacer un ataque de diccionario necesitarías conseguir el salt que se uso para encriptar (y ese por lo general no se le da al usuario).

Saludos.
  #6 (permalink)  
Antiguo 18/12/2007, 08:02
 
Fecha de Ingreso: noviembre-2002
Mensajes: 1.341
Antigüedad: 11 años, 5 meses
Puntos: 17
Re: ¿Cual es el método mas seguro de encriptacion actual?

No es mala opción, se me había ocurrido aplicar una encriptación básica al hash encriptado, cuya clave de cifrado sólo aparezca en el script, pero parece más elegante lo que comentas...

Es un debate interesante, siempre he querido ponerme al día en esos temas.
  #7 (permalink)  
Antiguo 18/12/2007, 08:22
 
Fecha de Ingreso: diciembre-2007
Mensajes: 149
Antigüedad: 6 años, 4 meses
Puntos: 1
Re: ¿Cual es el método mas seguro de encriptacion actual?

Ajam este tema da de que hablar eeee, bien a mi la encriptacion md5 me ha parecido buena idea, pero claro yo esa clave la compararia con la contraseña del usuario de la base de datos que tanto clave md5 como la del usuario estarian relacionada en la base de datos no?
  #8 (permalink)  
Antiguo 18/12/2007, 08:23
Avatar de jorgedx  
Fecha de Ingreso: junio-2005
Ubicación: Chile, Los Andes
Mensajes: 406
Antigüedad: 8 años, 10 meses
Puntos: 4
Re: ¿Cual es el método mas seguro de encriptacion actual?

Bueno como comentan md5 es un sistema de encriptacion de una sola via, se ha dado de paginas que tratan de crear una base de datos con los hash para cada palabra, algo realmente poco util, ya que existen muchas combinaciones alomas podran guardar las palabras mas comunes como contraseña, como "abcde", "123456", etc, etc.

Lo que se puede hacer es tratar de usar fuerza bruta para encontrar la combinacion del password, pero toma mucho tiempo el que depende de la fortaleza de tu clave.

Lo que simpre es conveniente es usar un sistema en el logue que te permita solo 5 oportunidades y luego esperar un tiempo 10,15 min o el que se quiera.
__________________
Nuevamente a las pistas ...
  #9 (permalink)  
Antiguo 18/12/2007, 08:28
 
Fecha de Ingreso: noviembre-2002
Mensajes: 1.341
Antigüedad: 11 años, 5 meses
Puntos: 17
Re: ¿Cual es el método mas seguro de encriptacion actual?

Estoy de acuerdo, pero los ataques de diccionario no tratan de tener una base de datos los hash, sino tener un fichero de texto con miles de palabras y crear un programa que vaya leyendo dicho fichero, encripte la cadena a MD5 y lo compare con el hash que se quiere reventar. Y eso es bastante rápido, por eso no se recomienda usar palabras comunes en las contraseñas, alternarlas con números, signos, mayúsculas y minúsculas, etc...
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 14:43.
SEO by vBSEO 3.3.2