Qué cifrado me recomendáis? md5, sha-1...

Buenas noches,

He leído que el cifrado con MD5 ha dejado de ser tan seguro como haces unos años. Me pregunto que cifrado es el "más seguro" hoy en día para cifrar contraseñas.

El md5 convertía la cadena en 32 caracteres, veo que SHA-1 la convierte en 40

También he leído el tiempo que el SHA-1 tarda más que el MD5, o que ocupa más espacio en la base de datos...

Creo que cada foro usa su propia codificación, pues no es la misma la de phpbb3 por ejemplo que el nuevo wordpress 3

¿Cuál es vuestra opinión, usando sha1 es suficiente?

sha1($str)

Muchas gracias de antemano

Yo sugiero MD5, ya que es imposible decifrarlo nuevamente con PHP. Podrías ocupar doblemente MD5: md5(md5($variable))

Utilizando solo md5, es peligroso... ya que existen de base de datos, con hashes y sus valores reales, proporcionados por usuarios de internet. También existe el llamado 'brute force', que es utilizado por softwares, que únicamente, si no me equivoco, prueban y prueban combinaciones hasta dar con la que le has proporcionado.

Así que te recomendaría que uses 'salt', que como es una cadena, con caracteres especificados por ti, para que la cadena hasheada final sea más complicada.

Artículos que te pueden servir :

http://www.pixel2life.com/publish/tu...rd_encryption/

Aquí un ejemplo de lo que te digo :

http://www.phpfreaks.com/forums/inde...topic=187360.0

Pero si colocas doblemente el md5 ya dejó de funcionar la Base de datos como las que hay en internet, puedes colocarle las veces que queiras el md5 (Repetirlo si quieres 3 veces). Pero md5 no se puede desencriptar, o si quieres podrías combinar sha-1 con md5.

Pues creo que al final optaré por encriptarlo dos veces tal y como sugerís, así evito que coincida con alguna base de datos que haya por la red. Porqué aun coincidiendo no estarían sacando la contraseña real.

md5(sha1($str))

Al comprimirlo primero en sha1 y luego en md5, estoy reduciendo peso de 40 a 32 caracteres. Lo único es que aumento el tiempo de cpu para encriptar. Pero creo que es mínimo y aceptable.

Muchas gracias

Otra opción es usar una cadena constante para cifrar, así aunque tengan esos hashes es más complicado que obtengas la contraseña, por ejemplo:

Saludos.

Ya no es seguro para encriptar contraseñas, pero aun es util para comprobar que un archivo no ha sido alterado. Por ejemplo, un desarrollador puede publicar su software, y su resumen hash, y quien desee utilizarlo puede descargar el software y –antes de instalarlo- obtener su resumen hash. Si es igual a la del desarrollador, puede estar seguro de que es el software original y no ha sufrido modificaciones.

Lo anterior lo podemos realizar a través de aplicaciones como WinMD5 (http://winmd5.com/).

Fuente: [URL="http://naps.com.mx/blog/todavia-es-confiable-utilizar-md5/"]http://naps.com.mx/blog/todavia-es-confiable-utilizar-md5/[/URL]

[URL="http://naps.com.mx/blog/todavia-es-confiable-utilizar-md5/"]Naps tecnología y Educación[/URL]

MD5, SHA-1 y derivados son hashes bastante inseguros (especialmente por la posibilidad de colisión).
En lugar de hashear, como te recomiendan aquí, deberías encriptar.

Un ejemplo en PHP: https://mimentevuela.wordpress.com/2...lt-en-crypt-2/

------------------

Porque no forma parte del sistema criptográfico de encriptación. Codifica, no encripta.

------------------

Que sea largo ayuda, pero no imposibilita la tarea de des-hashear la contraseña.