¿ Encriptais siempre las contraseñas en vuestras webs ?

davidj · #1 (**permalink**) 05/11/2010, 10:17

Hola,

Estoy diseñando una aplicación web en la cual existirán contraseñas para los usuarios registrados.
El administrador necesitaría saber el valor de las contraseñas de los usuarios y si las encripto no podrá saber cuales son. Estoy pensando en realizar dicho sistema sin encriptarlas. Se trataría de que el usuario inserte el nombre de usuario y pass para acceder a su panel, nada mas...

¿Es fiable no?, es decir, ¿no creo que nadie pueda acceder a la BD MySQL y ver las contraseñas no ??

Un saludo!!

malakian · #2 (**permalink**) 05/11/2010, 10:57

hola!

yo siempre las encripto, todo por seguridad!!
existe gente que usa "sniffers" algo asi, que puede detectar los datos que se envian mediante la red, si no la encriptas,lapersona que sabe manejar eso las detecta y tu aplicacion seria vulnerable, ademas es bueno que ni el administrador de la aplicacion conozca las claves, a esas cosas se les llama puerta trasera...

bueno en conclusion y en mi humilde opinion no lo recomiendo..

lumiz · #3 (**permalink**) 05/11/2010, 12:12

yo las encripto y en el caso de hacer un panel de control para manejarme yo solo le pongo una url dificil y le pongo para q solo me habra el panel en mi ip.

davidj · #4 (**permalink**) 06/11/2010, 03:00

Gracias por vuestras opiniones, tomo nota..

¿ Se podria generar una encriptación/desencriptación, es que el problema que tengo es que al cliente le gustaría poder saber las contraseñas.. ?

Saludos!!

gogupe · #5 (**permalink**) 06/11/2010, 03:17

Cita:

Iniciado por davidj

Gracias por vuestras opiniones, tomo nota..

¿ Se podria generar una encriptación/desencriptación, es que el problema que tengo es que al cliente le gustaría poder saber las contraseñas.. ?

Saludos!!

Hola, yo tambien pensaba como tu, que se tenía que desencriptar, pero no es necesario, lo que hago yo es encriptarla con md5 y el añado una cadena clave usando la funciona de concatenar... y siempre que introduce la contraseña va encriptada, si es igual a la bd, entra... lo unico que tienes que tener en cuenta es que si el cliente quiere recuperar la contraseña, no podrás, en este caso, le genera una nueva automáticamente con la opcion de que después la podrá modificar.

Saludos.

ShAq83 · #6 (**permalink**) 06/11/2010, 04:29

Un ejemplo de encriptación desencriptación:
http://www.phpbuilder.com/board/showthread.php?t=10326721

Para evitar sniffers, necesitarás usar HTTPS.

pateketrueke · #7 (**permalink**) 06/11/2010, 09:45

Cita:

Iniciado por davidj

el problema que tengo es que al cliente le gustaría poder saber las contraseñas

y esta mal, ya que atenta contra la privacidad de los usuarios...

davidj · #8 (**permalink**) 06/11/2010, 17:46

Lo que veo que aunque se utilize md5 o sha1, el usuario debe teclear el password y enviarlo al servidor, una vez allí se encripta mediante php, por tanto, un sniffer podria interceptar el password que se envia desde el formulario al php...

¿Realizais la encriptación en el servidor (php) o utilizais algún otro sistema para evitar que se intercepte el password?

Un saludo!!!

xalupeao · #9 (**permalink**) 06/11/2010, 19:30

Cita:

Iniciado por ShAq83

Un ejemplo de encriptación desencriptación:
http://www.phpbuilder.com/board/show...php?t=10326721

Para evitar sniffers, necesitarás usar HTTPS.

Claro si encriptas o no da igual en el caso de un sniffer, ya que el sniffer ve lo que sale de la red (una clave sin encriptar).

Puedes usar base64 para encriptar y desencriptar. (pero para que encriptar y despues desencriptar :S)

para hacer un login seguro necesitas de un certificado SSL.

lo mejor el salto y md5. (pero no es desencriptable).

davidj · #10 (**permalink**) 07/11/2010, 08:31

entiendo...

Y si se realiza el encriptado en javascript en el cliente??, de esta manera aunque el sniffer intercepte la contraseña no pasaria nada ya que iria encriptada , no??

Que opinais ??

Vun · #11 (**permalink**) 07/11/2010, 12:18

Bueno, estuve buscando algo sobre esto de los sniffer aunque hay cosas que no me quedan muy claras de lo que un webmaster puede hacer para prevenirlo. Creo que es más la labor del tu ISP que se encargue de entregar a cada usuario los paquetes correspondientes ¿no?

¿podrias explicar mejor tu un ejemplo de ese tipo de 'hackeo' david?

Sobre lo de encriptar con javascript... recuerda que todo lo que sea de lado del cliente va a poder mirarlo viendo el codigo fuente de la pagina...

zarpen · #12 (**permalink**) 07/11/2010, 12:55

Aquí te puedes bajar scripts para encriptar en md5 desde el cliente: [URL="http://pajhome.org.uk/crypt/md5/index.html"]script js[/URL], lo malo que igual no todo el mundo tiene activado el javascript por lo que veo más practico el ssl.

davidj · #13 (**permalink**) 08/11/2010, 02:31

zarpen pero aunque se vea el código javasript no pasa nada no?, solo vería que el pass serà encriptado pero no sabrà cual es el pas...

Vun, al utilizar el término sniffer me refiero a interceptar los datos que se envian cuando el usuario teclea el password y lo envia al servidor para ser encriptado. Me preocupa bastante poder evitar esto ya que por mucha encriptación que exista, si se puede interceptar lo que envia el usuario antes de ser encriptado pues como que no me gusta nada...

Saludos!!

fernandozunni · #14 (**permalink**) 08/11/2010, 08:44

No se si es exactamente los que estas buscando, pero una buena medida de seguridad para el robo de sesiones es comparar o chequear los headers.

Código PHP:

Ver originalsession_start();
$chequeo = md5($_SERVER['HTTP_ACCEPT_ENCODING'] .$_SERVER['HTTP_ACCEPT_LANGUAGE'] .$_SERVER['HTTP_USER_AGENT']);
 
if(empty($_SESSION['chequeo'] ){
$_SESSION['chequeo'] = $chequeo;
}
elseif($_SESSION['chequeo']! = $chequeo){
session_destroy()  //chequeo invalidado, destruyo todas las sessiones.
}

malakian · #15 (**permalink**) 08/11/2010, 13:49

hola!!

por lo menos yo trabajo con mysql, este tiene funciones internas que uso para encriptar la clave con SHA1...

yo loque hago es encriptarlas con SHA1 con javascript en mi modulo de logueo, antes de que la contraseña sea enviada al servidor se encripta, luego llega encriptada a la BD alla realizo una comparacion y listo...

es decir, en el momento del envio un sniffer puede detectarla, talvez, pero estara encriptada, tengo entendido que SHA1 no se puede desencriptar, el algoritmo esta diseñado para que eso no pase... si se pudiera demoraria muchisimo tiempo...

vemos!!

davidj · #16 (**permalink**) 09/11/2010, 02:26

fernandozunni ok, tomo nota aunque lo que me comentas solo es para las sesiones..

malakian, hace tiempo que utilizas esta técnica??, podrias mostrar el código de javascript que utilizas para encriptar con sha1??

Gracias!!

malakian · #17 (**permalink**) 09/11/2010, 10:04

hola en realidad uso unas librerias de SHA1 para Javascript pero son muy grandes como para mostrarlas, te explico un poco, lo que mas o menos sucede es el usuario escribe su contraseña y antes de ser enviada se encripta, no se si te habras fijado en algunas webs, en la que tu escribes tu clave presiona enviar o lo que sea y se alcanza ver que lo que escribiste se agranda un poco antes de ser enviada, en conexiones lentas se ve mucho mejor...

por lo menos lo he usado en una web para una intranet de prestamos de mucho dinero y hasta el momento todo sale perfecto, imaginate una web de estas sin este tipo de seguridad, no digo que no sea vulnerable, talvez pero en casos de mil millones a uno,para mi esmuy seguro me ha funcionado al pelo...en cuanto altiempo no sabria decirte con exactitud...

saludos!!

davidj · #18 (**permalink**) 09/11/2010, 10:35

entiendo... gracias de todos modos...

estaba pensando.. que posibilidades reales existe de que un hacker intercepte la contrseña que se envía al servidor??, no debe ser tan fácil no??

Salut!!

malakian · #19 (**permalink**) 09/11/2010, 11:08

pss eso lo pueden hacer con un programa,algo de sniffers!! lo hace gente muy experta!!
igual llegan a obtener la clave estar encriptada y sera muy dificil revertir el proceso...