recuperar claver encriptadas

gonxfreaks · #1 (**permalink**) 12/06/2010, 17:23

hola,
tengo un problema con un codigo php, para recuperar claves
bueno las claves almacenadas en la base de datos esta encriptada en MD5, y al recuperarla con este sistema me aparece encriptada, hay alguna manera de recuperarla de otra forma para que aparezca la clave ingresada por el usuario inicial.
<html>
<head>
<?
$link=mysql_connect("server","usuario");
mysql_select_db("database",$link);

$usuario=$_POST[usuario];
$respuesta=$_POST[respuesta];
?>
</head>
<body>
<?
$result=mysql_query("select pass from usuarios where usuario='$usuario' and respuesta='$respuesta'", $link);

while($row=mysql_fetch_array($result))
{
echo ('<u>'.$row[pass].'<u>');
}
?>
<form method="post" action="lostpass.php">
Usuario<br>
<input type="text" name="usuario"><br>
Respuesta Secreta<br>
<input type="text" name="respuesta">
<br>
<input type="submit" value="recuperar"><br>
</form>
</body>
</html>

saludos

se agradece...

wiwi74 · #2 (**permalink**) 12/06/2010, 19:10

Yo he usado la funcion:

Código PHP:

   
crypt()

Y dice (manual de php):

Cita:

Note: No existe una función de desencriptado, ya que crypt() utiliza algoritmos no reversibles.

maycolalvarez · #3 (**permalink**) 12/06/2010, 19:15

eso es porque crypt genera un HASH, como MD5 o SHA1, por lo tanto no es reversible.

los hashes son secuencias generadas a partir de la data enviada que tratan de obtener una "clave única irrepetible", esta no se puede desencriptar, porque no encripta.

es el método idóneo para almacenar contraseñas, debido a que protege la contraseña real, debes investigar más sobre3 los HASH para que comprendas su importancia, suerte

albert_23 · #4 (**permalink**) 13/06/2010, 02:50

Alguna vez me he encontrado con webs que te envian la contraseña tal cual la al darle al boton de "olvide la contraseña", ¿se puede pensar claramente que el webmaster de ese sitio esta guardando las contraseñas en texto visible en la base de datos?

gnzsoloyo · #5 (**permalink**) 13/06/2010, 07:59

En MySQL existe un par de funciones que permiten encriptación y desencriptación: AES_ENCRYPT() y AES_DECRYPT(). El único problema que tienen es que a su vez requieren el uso de un password secundario para desencriptar lo encriptado...

Cita:

AES_ENCRYPT(str,key_str) , AES_DECRYPT(crypt_str,key_str)
Estas funciones permiten encriptación y desencriptación de datos usando el algoritmo oficial AES (Advanced Encryption Standard), conocido anteriormente como "Rijndael." Se usa una encriptación con una clave de 128-bit , pero puede ampliarlo hasta 256 bits modificando las fuentes. Elegimos 128 porque es mucho más rápido y de momento es suficientemente seguro.
Los argumentos de entrada pueden ser de cualquier longitud. Si algún argumento es NULL, el resultado de esta función también es NULL.
Debido a que AES es un algoritmo a nivel de bloques, se usa relleno para cadenas de longitud impar y así la longitud de la cadena resultante puede calcularse como 16 * (trunc(string_length / 16) + 1).
Si AES_DECRYPT() detecata datos inválidos o relleno incorrecto, retorna NULL. Sin embargo, es posible para AES_DECRYPT() retornar un valor no NULL (posiblemente basura) si los datos de entrada o la clave son inválidos.
Puede usar la función AES para almacenar datos de forma encriptada modificando sus consultas:

Código MySQL:

Ver originalINSERT INTO t VALUES (1,AES_ENCRYPT('text','password'));

Puede obtener incluso mejor seguridad si no transfiere la clave a través de la conexión para cada consulta, que puede hacerse almacenando la clave en una variable del servidor al hacer la conexión. Por ejemplo:

Código MySQL:

Ver originalSELECT @password:='my password';
INSERT INTO t VALUES (1,AES_ENCRYPT('text',@password));

AES_ENCRYPT() y AES_DECRYPT() pueden considerarse las funciones de encriptación criptográficamente más seguras disponibles en MySQL.