Tema: sistema de contraseñas 100% seguro?
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 04/03/2004, 14:46
Avatar de derkenuke
derkenuke
Colaborador
  
Fecha de Ingreso: octubre-2003
Ubicación: self.location.href
Mensajes: 2.665
Antigüedad: 20 años, 7 meses
Puntos: 45
Información sistema de contraseñas 100% seguro?
Bueno, tengo una duda teorica, nada de codigo. Se me ocurrio cuando estaba pensando un sistema de contraseñas seguro para una web. Siempre hemos tenido ese dilema de poner una contraseña a un conjunto de paginas y que realmente funcione, que sea indescifrable. Bueno, he pensado algo, por eso lo quiero compartir, y si alguien le encuentra la trampa, que me lo diga:

Empecemos por el principio, por el FAQ170 que yo mismo publique sobre un sistema seguro de contraseñas (no hecho por mi logicamente). Bueno, lo de siempre, lo de poner un

if(contrasena=="sa12sa") location.href="restringido.htm";

pues como que no funciona muy bien, porque a nada que sepas leer un poco de codigo por mucho que lo ocultes... Bueno, pues utilizando el metodo MD5, podriamos codificar la contraseña "sa12sa" manualmente (resulta "F96666B367736C1546D12641C51F0D59"), y entonces si que podemos hacer:

if(calcMD5(contrasena)=="F96666B367736C1546D12641C 51F0D59") location.href="restringido.htm";

Entonces a ver quien nos cala, porque el hashMD5 es indescifrable [todavia].

****************

Vale eso por una parte, para acceder de manera legal a la pagina, pero que pasa si viene alguien y pone en su barra de direcciones http://www.mipagina.com/restringido.htm, entonces ya nos ha fastidiado el sistema. Pues para eso he pensado en cookies. Poner un frame oculto (0%) y que ese frame se encargue. Bueno la pagina de antes colocaria una cookie de acceso, la cual este frame oculto se encargaria de comprobar. Deberia tener un valor algo oculto, no que sea entrado=si, algo como contr=F96666B367736C1546D12641C51F0D59 o cualquier cosa, mas que nada para que no se entienda que influye mucho .

Vale, pues el frame oculto verificaria si existe la cookie, y si su valor es correcto, y si es asi, pues muestra la pagina, sino redirecciona a donde sea. Pero como tambien se puede falsificar cookies, lo bueno seria que cuando se cierre la pagina formada por el frame oculto y el de 100% (onbeforeunload), la cookie se eliminara.

_*_*_*_*_*_*_*_*_*_*


Bueno, pues ya esta, seria eso mas o menos. Solo le encuentro un fallo. Que el usuario encuentre la cookie y le cambie la fecha, o la copie y se la pase a un amigo o la difunda etc.

Es el sistema mas seguro que he conseguido lograr. ¿Como lo veis?
__________________
- Haz preguntas inteligentes, y obtendrás más y mejores respuestas.
- Antes de postearlo Inténtalo y Búscalo.
- Escribe correctamente tus mensajes.
Última edición por derkenuke; 04/03/2004 a las 16:18