Foros del Web » Programando para Internet » PHP »

¿Mejor función/algoritmo para encriptar contraseñas en PHP?

Estas en el tema de ¿Mejor función/algoritmo para encriptar contraseñas en PHP? en el foro de PHP en Foros del Web. http://php.net/manual/es/function.crypt.php He leído que MD5 y SHA1 no deben usarse para proteger contraseñas. ¿Cómo debo encriptar las contraseñas de mis usuarios entonces? ¿Y cómo funciona ...
  #1 (permalink)  
Antiguo 27/06/2012, 17:11
Avatar de Adrii952  
Fecha de Ingreso: diciembre-2011
Ubicación: Madrid
Mensajes: 116
Antigüedad: 8 años
Puntos: 7
¿Mejor función/algoritmo para encriptar contraseñas en PHP?

http://php.net/manual/es/function.crypt.php

He leído que MD5 y SHA1 no deben usarse para proteger contraseñas.
¿Cómo debo encriptar las contraseñas de mis usuarios entonces?
¿Y cómo funciona el salt exactamente? ¿Hay que ponerle como una segunda contraseña (o frase) definida por mi?
Me preocupa bastante la seguridad y quería cambiar el algoritmo antes de que pase nada.
Gracias
  #2 (permalink)  
Antiguo 27/06/2012, 18:10
Colaborador
 
Fecha de Ingreso: mayo-2008
Ubicación: $MX['VZ']['Xalapa']
Mensajes: 3.005
Antigüedad: 11 años, 7 meses
Puntos: 528
Respuesta: ¿Mejor función/algoritmo para encriptar contraseñas en PHP?

Las funciones que mencionas (md5 y sha1) no son métodos de encripción, si no de hash, es decir no se puede revertir el proceso. Depende de tus cencesiades el usarla o bien manejar un método verdaderamente de encripción.

¿Dónde y qué leíste sobre que no deben usarse?
  #3 (permalink)  
Antiguo 27/06/2012, 18:16
Avatar de Hardrive  
Fecha de Ingreso: julio-2006
Ubicación: La Plata - Bs. As.
Mensajes: 65
Antigüedad: 13 años, 4 meses
Puntos: 0
Respuesta: ¿Mejor función/algoritmo para encriptar contraseñas en PHP?

MD5 y SHA1 son algoritmos de hashing, no estan pensados para almacenamiento de passwords cifrados. Si quieres seguridad puedo recomendarte bcrypt como la mejor opcion.

Saludos
  #4 (permalink)  
Antiguo 27/06/2012, 18:27
Avatar de Adrii952  
Fecha de Ingreso: diciembre-2011
Ubicación: Madrid
Mensajes: 116
Antigüedad: 8 años
Puntos: 7
Respuesta: ¿Mejor función/algoritmo para encriptar contraseñas en PHP?

Gracias por las respuestas.
Pues lo leí en twitter, cuando sacaron todas las contraseñas de linkedin mencionó un hacker, no me acuerdo quién exactamente, que los algoritmos MD5 y SHA1 no deben usarse para almacenamiento de contraseñas porque no son seguros. Que lo mejor es usarlos para calcular hashes de ficheros y verificarlos.
Respecto al blowfish, eso estaba viendo.
Tenía pensado encriptar las contraseñas de mis usuarios con el sistema SHA512 y 2 millones de vueltas;
crypt('contraseña','$6$rounds=2000000$nombredelusu ario$')
y poniendo en el salt el nombre del usuario para que no haya el mismo hash si dos usuarios tienen la misma contraseña.
¿Entonces cuál uso, el SHA512 o el Blowfish? ¿Cuál es más seguro?
___
Me he estado informando y al parecer para encriptar contraseñas prefieren usar SHA512 en vez de blowfish porque SHA512 al ser un hash es más irreversible o algo así decían.

Última edición por Adrii952; 27/06/2012 a las 18:47

Etiquetas: contraseñas, encriptar, usuarios
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 20:38.