Duda con encriptación en PHP

artic83 · #1 (**permalink**) 01/02/2013, 22:10

Hola muchas gracias por toda su ayuda en las ultimas preguntas. He avanzado bastante en mis tareas gracias a todo lo que me han explicado aquí.

Estoy intentando hacer un sistema de login que ponerle a mi proyecto. Tengo el nombre de usuario como clave principal. Me gustaría almacenar en md5 o ripmd el nombre de usuario y la contraseña. Tengo en la pagina un script javascript que encripta antes de enviar a php, despues php revisa la longitud de la cadena que coincida exactamente con la longitud encriptada, de lo contrario lo encripta. Todo funciona bien hasta ahí.

El problema que tengo es que me gustaría que cuando entren a la pagina diga algo como HOLA ARTIC83!!! por ser el nombre de usuario pero en lugar de eso me sale una cadena encriptada puesto que es lo que almaceno en base de datos. Se que lo puedo sustituir con su nombre y apellidos pero de ser posible me gustaría encriptar esos datos tambien puesto que pienso que si fuera una aplicacion real para una empresa y hackearan la base de datos al menos le costaría trabajo al tipo que lo logre saber los datos mas sensibles de las personas.

mi pregunta es como puedo lograr que 60e3e596a0781bd02b0c3b5c9773c187 en md5 o 2a0f399093974539e9c4f0158ca10827d433730f41e5dd1648 cd7a9f49c2c6e1815fd973a4b98faa en ripmd se vean en php como artic83 o que otra solución me podrían sugerir a mi dilema? Tambien me gustaría saber si consideran que esta bien planteada mi idea de como debería de autentificar al usuario. Un saludo y muchas gracias por apoyar a un novato como yo.

dashtrash · #2 (**permalink**) 01/02/2013, 22:19

No hay tal forma.Y si la hubiera, para qué lo "encriptarías", (hasheas, en realidad), si, a partir del hash, se pudiese obtener la cadena original?

artic83 · #3 (**permalink**) 01/02/2013, 22:28

Genial eso me alivia muchisimo. Sonaba un poco carente de sentido el que pueda hacerse. Aunque sería genial si me pudieran decir que me recomiendan hacer. Por un lado quiero asegurar que a la hora de evaluar mi proyecto haber hecho algo por proteger la seguridad de datos sensibles pero por otro lado no es buena idea decir bienvenido usuario generico. no se tu nombre o mandar e mails con lineas de 40 caracteres. Pero el crear un campo en la base de datos donde guarde al menos uno de esos datos sin encriptar me resulta redundante y le quita el sentido al aber encriptado el otro campo. Creen ustedes que hay un punto intermedio? Que me recomiendan hacer?? Necesito terminar el asunto de seguridad de la aplicacion esta semana para poder presentar los avances al profesor. Pero realmente no se ni que investigar. Por ejemplo no se si es mejor usar la funcion hash() en php o crypt() o si ninguna es recomendable y sería mejor otro metodo. No se si exista otra manera en que pueda proteger los datos sensibles ante una posible violacion de la seguridad de la base de datos sin necesidad de encriptación y una de mis mas fuertes dudas es que metodo usar si blowfish, sha o ripmd. ¿Cúal creen que sería mi mejor opción?

#4 (**permalink**) 01/02/2013, 22:35

bueno la verdad podrias solo encriptar la clave ya q con la clave encriptada es mas q suficiente ya q nadie podria desepcritarla, y de esa forma te podrias llevar el nombre de usuario para q muestre un Bienvenido Usuario, o sino q al registrar un usuario le registre su nombre y apellido, y al momento de q ese usuario haga un logion es decir inicie sesion q muestre Bienvenido Nombres y Apellidos

dashtrash · #5 (**permalink**) 01/02/2013, 22:47

Seguridad no es encriptar todo.
No tiene sentido hacerlo, porque desencriptarlo te será igual de difícil a tí, que a un intruso.
Así que, y por resumirlo, debes vivir con ello.Si el sistema donde tu aplicación se ejecuta "supiera" desencriptar los datos, alguien que entrara en él, podría hacerlo también.
Es más: seguridad no es "llamo a una función y ya todo es seguro".Usar blowfish, sha, ripmd, md5, etc,etc...Usa blowfish, que es lo que los gurús recomiendan (yo no lo soy, pero los motivos para no usar md5 no me convencen), y sólo para los passwords.
Espero que no estés limitando tu defensa ante intrusos a encriptar la base de datos...La seguridad web es algo que no se soluciona tan fácilmente.
Y que, además,depende del tipo de proyecto.No es simple.

#6 (**permalink**) 02/02/2013, 10:58

podrias usar algo parecido a mcrypt_encrypt para encriptar al usuario y guardarlo en la bd y mcrypt_decrypt para desencriptar y mostrarlo

http://www.php.net/manual/es/functio...pt-encrypt.php

http://www.php.net/manual/es/functio...pt-decrypt.php

o codificarlo con convert-uuencode y descodificarlo con convert-uudecode , no te recomiendo bas64_encode

http://www.php.net/manual/es/functio...t-uuencode.php

http://www.php.net/manual/es/functio...t-uudecode.php

mcrypt_generic . mdecrypt_generic
http://www.php.net/manual/es/functio...pt-generic.php
http://www.php.net/manual/es/functio...pt-generic.php

David1992 · #7 (**permalink**) 02/02/2013, 15:08

... ¿Y que tal si guardas en una cookie de sesion una variable con el nombre normal para mostrarlo y luego otra con el nombre encriptado?, de este modo usas los datos encriptados para la verificación de identidad y el dato no encriptado unicamente para mostrarle su nombre al usuario cuando asi lo quieras, encuanto a lo de encriptar del lado del cliente, esto te lo ahorrarias y para mantener la seguridad, puedes utilizar https en lugar de http