Autenticacion segura con PHP

Buenas, estoy haciendo una aplicacion para la gestion de contenidos de una web, el caso es que logicamente quiero dilimitar el acceso a la misma solo para los administradores, os comento lo que tengo pensado y luego me decis si se os ocurre alguna otra forma o si se me escapa algo

la idea que yo tenia pensada se basa en un sistema tipico de formulario que recoje nick/password y lo contrasta con un tabla MySQL en la que se guardan las passwd cifrandas mediante crypt() o md5() (como funcionan exactamente???) y las confrontaciones entre ellas tb se hacen cifradas
tb habia pensado utlizar cookies para mantener a los usuarios activos sin tener que andar constantemente indentificandose, el problema de las cookies viene si se usan equipos compartidos (como en un ciber) y no se hace logout... para esto la unica solucion que veo es poner tiempos de caducidad relativamente cortos

por otro lado tenia pensado hacer comprovaciones en las paginas restringidas para comprobar desde que pagina llega el usuario y poder asi restringir un poco mas...

que os parece? alguna idea mas?

la unica pega es que los datos van en claro entre cliente y server ya que la passwd es cifrada al llegar al server, pero no voy a usar SSL para solucionar esto, lo unico que se me ocurre es cifrar "ligeramente" la passwd en el cliente con JavaScript (o asi), pero iria el codigo del algoritmo con la funciona javascript en claro, asique tampoco arrllga nada :-p

gracias de antemano

Vas bien encaminado .. salvo el tema de usar cookies; no lo recomiendo .. tu mismo das las razones de porqué no es seguro.

Olvidate tambien de "encriptar" algo con javascript .. eso es peor casi q usar cookies.

Que guardes las contraseñas en tu BBDD de tu hosting en algun formato de encriptacion de un solo sentido (como MD5 o crypt) te puede dar un problema: no podras hacer un "recordar contraseña".

Si no puedes o no deses usar SSL .. el sistema no será seguro al 99% (no digo %100 xDD).

Para ver un ejemplo de lo que estas o vas hacer puedes ver mi script Autentificator .. Se basa en sessiones (de servidor), Mysql como BBDD de usuarios y el codigo está ampliamente comentado a modo de tutorial. Es licencia GPL asi que puedes hacer lo que desees con el.

<a href='ir.asp?http://phpcluster.host.sk/scripts/autentificator/' target='_blank'>http://phpcluster.host.sk/scripts/autent...</a>


Un saludo,

Gracias por las recomendaciones...

no quiero usar SSL, ya que no creo que nadiea se vaya a tomar tantas molestias para intentar capturar las password cuando son enviadas...

no habia pensado en lo de &quot;recurar contraseña&quot;, pero bueno creo que en este caso no sera un gran problema que no se disponga de esa utilidad

le hechare un vistazo a tu aplicacion que seguro que consigo alguna idea interesante, gracias por todo