Encriptacion password en admin

CanariasHosting · #1 (**permalink**) 02/04/2009, 14:36

Pues eso estoy haciendo un sistema de administración, entonces queria recomendación de cual preferis si md5 o sha1, para encriptar la contraseña.

Y si es posible un explicación de la razón.

Gracias por dar luz a un ciego. ;)

the_web_saint · #2 (**permalink**) 03/04/2009, 09:59

Sha1.

Más seguridad, osea menos probabilidad de romperla. Sino me dejan mentir creo que se han dado casos con la md5, pocos pero hay, en cambio con sha1 no conozco.
Se debe a los 160 de sha1 contra los 128 bit de md5

GatorV · #3 (**permalink**) 03/04/2009, 10:01

MD5 no ha sido roto, el problema es que generan cadenas que son similares y pueden dar con el resultado, y con los procesadores como son muy rapidos hoy en dia pueden hacer muchas comparaciones por segundo.

Yo creo lo mejor a usar también es sha1, por que su longitud de 160 lo hace más dificil de atacar.

Saludos.

the_web_saint · #4 (**permalink**) 03/04/2009, 10:18

Uhmm bueno gracias por la aclaración, entonces la que fue rota fue su antecesor?

GatorV · #5 (**permalink**) 03/04/2009, 12:17

No, lo que fue "roto" es que hay hashes ya comunes, por ejemplo ya es conocido que 12345 es "admin", por lo que hacen brute force, o sea comprueban la hash directo, pero no es que sea rota, si no todas las claves MD5 serían vulnerables y no lo son.

Saludos.

teoman15 · #6 (**permalink**) 03/04/2009, 14:41

o tal vez puedes hacer como explico otro forero

sha1(md5($_POST['password']))

eso hago yo
salu2

the_web_saint · #7 (**permalink**) 03/04/2009, 14:51

Ok, gracias GatorV

rauliito90 · #8 (**permalink**) 03/04/2009, 14:55

Cita:

Iniciado por CanariasHosting

Pues eso estoy haciendo un sistema de administración, entonces queria recomendación de cual preferis si md5 o sha1, para encriptar la contraseña.

Y si es posible un explicación de la razón.

Gracias por dar luz a un ciego. ;)

La verdad, prefiero md5 :)

the_web_saint · #9 (**permalink**) 03/04/2009, 17:02

Y eso?, podrías dar las razones, explicanos el porque por favor.

Saludos.

harvestmoon · #10 (**permalink**) 03/04/2009, 17:10

La resistencia del algoritmo SHA-1 se ha visto comprometida a lo largo del año 2005. Después de que MD5, entre otros, quedara seriamente comprometido en el 2004 por parte de un equipo de investigadores chinos, el tiempo de vida de SHA-1 quedó visto para sentencia.

El mismo equipo de investigadores chinos, compuesto por Xiaoyun Wang, Yiqun Lisa Yin y Hongbo Yu (principalmente de la Shandong University en China), ha demostrado que son capaces de romper el SHA-1 en al menos 269 operaciones, unas 2000 veces más rápido que un ataque de fuerza bruta (que requeriría 280 operaciones). Los últimos ataques contra SHA-1 han logrado debilitarlo hasta 263.

lo encontre en wiki
pero sinceramente yo trabajando con md5 he tenido algunos problemas a la hora de guardar
si ya se q diran que lo hago mal pero con sha1 aflore mejor mis conocimientos :D
jaja saludos solo queria dar mi opinion
gracias!

the_web_saint · #11 (**permalink**) 04/04/2009, 07:11

Muy buen aporte de historia harvestmoon.
Uhmm en conclusión dices que el md5 es mejor, o es lo que entiendo?

Saludos

andystefano2 · #12 (**permalink**) 04/04/2009, 07:26

yo les hago un str_reverse a la cadena original las paso por md5 y este lo guardo invertido algunas veces le he metido hasta base64 entremedio y caracteres adicionales

the_web_saint · #13 (**permalink**) 04/04/2009, 08:24

Jojojo que inmaginación para guardarla, creo que esta bastante segura de esa forma.
Muy buena la idea. gracias.

Saludos

CanariasHosting · #14 (**permalink**) 06/04/2009, 08:44

Pues al final me he decantando con una mezcla de md5 sha1 time() y una cadena aleatoria. Creo que de esta forma esta bastante segura ....

Adios y Gracias