26/01/2006, 15:35
| ||||
| ||||
| Pueden explicarme la mente criminal Hola amigos del foro. Me encargaron hacer un sitio web un poco complejo y tiene un sistema de usuarios. Pero ahora que estoy haciendo la opción para recuperar contraseñas olvidadas me encuentro con el dilema de usar o no usar la funcion md5. Mi pregunta es: ¿que tan vulnerable se vuelve el sistema si no tiene encriptadas las contraseñas? ¿Cómo un hacker destructor podría dañar el sitio web? |
|
26/01/2006, 15:46
| ||||
| ||||
| Si no encriptas los passwords, cualquier persona que vea la db sabra los datos privados de los usuarios, no tiene por que ser un "hacker", sino algún empleado o quien quiera. Realmente ni siquiera vos deberías saber este dato, ya que muchos usan el mismo usuario y pass en muchos sitios, y miles de escusas mas, encriptándolo no lo sabría/veria nadie. Si alguien te "roba" la db dejarías expuestos a todos los usuarios a que ingresen por esta persona. Igual es mas privacidad que seguiridad el tema de encriptar un pass, o eso creo. A tu pregunta concreta... De que te sirve, por decir, la db de hotmail si no tenes los password mas que para hacer, por decir, spam?
__________________ Mi punto de partida es Que Bueno Lo Nuevo |
|
26/01/2006, 15:48
| ||||
| ||||
| No creo yo, que nadie pueda dañar una página usando la cuenta de algún usuario. Quiero decir, que al fin y al cabo, solo podrá hacer lo que un usuario "normal" puede llegar a hacer. Yo por lo general, no uso md5 para sistemas de usuario, aunque, si para páginas de administración para clientes. |
|
26/01/2006, 15:50
| ||||
| ||||
 Es muy peligroso que no encriptes el password de tu usuario puesto que existen programas que capturan el trafico de la red, por lo que podrian interceptar la contraseña de el usuario. |
|
26/01/2006, 15:57
| ||||
| ||||
| Queeee????? Si el password no viaja encriptado al, por ejemplo, loguearte (a no ser que trabajes con https). Con lo que dice BoNeZ es verdad, pero nuevamente, si se puede, es mejor darle la seguridad al usuario de que nadie conoce su password.
__________________ Mi punto de partida es Que Bueno Lo Nuevo |
|
26/01/2006, 21:38
| ||||
| ||||
| opcion a)cuando deseen recuperar la contraseña generar una aleatoriamente que se envie al correo b) usar mcrypt los datos estaran encriptados pero sera reversible ;) asi te roben la DB el que la robe encesitara saber la llave con la cual sencriptan para poder desencriptarlos |
|
27/01/2006, 05:03
| ||||
| ||||
| Cita: Eso es cierto, y la utilización de https creo que es lo mejor, pero si no querés meterte en este tema una alternativa sería encriptar la contraseña en el cliente utilizando javascript.
Iniciado por nicolaspar Queeee????? Si el password no viaja encriptado al, por ejemplo, loguearte (a no ser que trabajes con https). En http://pajhome.org.uk/crypt/md5/ podes encontrar funciones que hacen esto. Igualmente, esta alternativa no es la mejor, pero es mejor que nada. Saludos.
__________________ |
