23/07/2003, 17:33
| |||
| |||
 No encuentro sentido a la función md5 Hola, me gustaría saber para q sirve la función md5 si una vez que encripto algo jamás sabré lo q pone, ya q es irreversible. Es q no le veo el sentido a esa función. Si por ejemplo, encripto una contraseña para un usuario, como voy a saber q la contraseña q introduce un usuario es la suya, si ademas no puedo desencriptar la de la base de datos para compararlas. Alguién tiene algo que comentar?? Un saludo y gracias. |
|
23/07/2003, 17:41
| ||||
| ||||
| Pues lo que haces cuando vas a comparar el password a la base de datos es correrle MD5 al dato a comprobar, es decir, se lo aplicas cuando lo guardas y cuando lo consultas... Asi, si alguien te "roba" la BD, no podrá saber que es lo que está leyendo...
__________________ Manoloweb |
|
23/07/2003, 17:44
| ||||
| ||||
| Ademas puedes "encriptar" el password desde antes de que salga de la pagina, por decir algo con javascript, así los datos que viajan no contienen el password como tal, sino su md5 (que tambien existe en JS)
__________________ Manoloweb |
|
23/07/2003, 17:44
| |||
| |||
| Perdona, pero no te entendí bien... Es decir, tu dices q se le aplica antes de guardar el dato, y se guarda encriptado no?? Y luego lo lees de la base de datos y se lo vuelves a aplicar a ese dato ya encriptado?? Gracias por tu interés , un saludo. |
|
23/07/2003, 17:47
| ||||
| ||||
| No... me refiero al proceso de autenticacion en si... Tu YA tienes en la BD el dato encriptado, OK? Ahora pides al usuario su password en un input de un formulario, y cuando lo vas a comprobar, le aplicas md5 a ese dato... $pwd=md5($_POST["password"]); select * from tabla where password=$pwd Estamos?
__________________ Manoloweb |
|
23/07/2003, 17:50
| |||
| |||
| Bien, pero he leio en uno de los mensajes de este foro, que una de las razones de la no-reversibilidad es que para datos diferentes, su encriptación es igual... Por tanto, el usuario a lo mejor introduce algo q no es la contraseña, pero q su encriptación es igual a la de la tabla no?? y no sería la correcta no?? Corrigeme si el mensaje q he leido es erroneo Un saludo. |
|
23/07/2003, 17:53
| ||||
| ||||
| Es correcto... aunque las posibilidades son muuuuuuuuy remotas. Es posible (no lo se) que el md5 de "px14yo" sea el mismo que el de "estetexto)/%&%$&()(/9889576342938294taltaljdhgfjsdfh" No se cuantas sean las probabilidades... pero estamos hablando de 32 bits... que es mucho. (aunque no es tanto como los 128 bits de otros protocolos...) 
__________________ Manoloweb |
|
23/07/2003, 18:10
| ||||
| ||||
| Como dato cultural... la cantidad de combinaciones para md5 es 2^128, algo cercano a... 680,564,733,841,876,926,926,749,214,863,540,000,00 0 Has intentado con la opcion PASSWORD de MySQL?? es otra buena opción, aunque también irreversible... Otra buena opción es que TU mismo hagas un mini algoritmo de encriptacion, del que solo tu tengas la formula, o bien, algo más básico, como una tabla de traducciones de caracteres, por ejemplo... a=x b=2 c=m d=l e=7 f=F g=1 h=0 ... etcetera... tal vez te lleve un rato hacer la tabla para evitar duplicados, pero una vez que la tengas, puedes usarla para "encriptar" los datos... luego solo aplicas la tabla en sentido contrario para recuperar el password. Usando los caracteres de arriba... te pongo un ejemplo... Password real: gebadea Password traducido: 172xl7x Y convertirlo de regreso solo requiere conocer la tabla de equivalencias... 
__________________ Manoloweb |
|
23/07/2003, 21:35
| |||
| |||
| Y si necesitas "reversibilidad" de esos datos encriptados .. usa las extensiones (librerias) mcrypt ... En el manual oficial de PHP (www.php.net) tienes ejemplos de uso. Un saludo,
__________________ Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo. |
|
24/07/2003, 03:02
| |||
| |||
| Hola, Es que MD5 es mas un algoritmo de hash que de encriptacion. Lo que pasa es que la gente le ha encontrado utilidad para "ocultar" la informacion. Deberias considerar por que necesitarias desencriptar el password. La unica razon por la que se me ocurre es para el caso de "Recordar contraseña". Pero en este caso se puede generar una contraseña nueva aleatoria y mandarla. Luego el usuario cambiaria esa contraseña aleatoria por una que pueda recordar. Asi que tampoco necesitas desencriptar la contraseña. Sobre que alguien por "casualidad" averigue un texto que coincida con el md5 de la verdadera contraseña, mas que por casualidad seria por fuerza bruta. Si empiezas a mandar cadenas, llegara un momento en que mande una con el mismo md5 (puede ser una hora, un dia, un milenio, ...). Pero los metodos de fuerza bruta funcionaran siempre, uses el metodo que uses. Y sobre el metodo de "traslacion" de caracteres, si alguien ha sido capaz de "robarte" la lista de contraseñas, ¿por que no puede haberte "robado" el codigo (script) donde desencriptas? Esa es la ventaja de md5: aunque te roben las contraseñas, no hay algoritmo de desencriptacion que te puedan robar para desencriptar. Bueno, es solo mi opinion. Como siempre, debes evaluar los pros y contras de ambos metodos. Saludos.
__________________ Josemi Aprendiz de mucho, maestro de poco. |
|
24/07/2003, 08:47
| |||
| |||
| Cómo encripto los datos antes de que salgan del formulario o que viaje encriptado, me refiero al codigo por que manoloweb dijo que con este codigo $pwd=md5($_POST["password"]); 1.-pero donde lo pongo? <input type="password name="pwd" class="campo"> 2.-es en un php o en un htm 3.-en mysql usando el phpMyadmin le tengo que poner en Function MD5 y para que se encripten los passwords ? esta es una pregunta para manoloweb |
|
24/07/2003, 09:51
| ||||
| ||||
| no eso lo tienes que hacer antes de hacer el insert en tu base de datos pro eso se recoje con la vatiable global post y se mete en otra variable para depeus hacer el insert a ese campo con la variable $pwd seria algo asi Código PHP:  Un Saludo  Última edición por DINASEN; 24/07/2003 a las 11:10 |
