encriptar clave

Saludos

Tengo un fichero colgado en mi página al cuál accederán sólo las personas que introduzcan la clave correcta para ello.

La clave se introduce a través de un formulario web típico y luego otro fichero .asp es el que procesa tal petición.

Mi problema es que en el fichero que debe de comprobar si la clave es correcta, tengo algo parecido a esto. Si suponemos que la clave es 'caramelo':

// recojo la clave introducida en el formulario
clave = Trim(Request.Form("clave"))

// verifico si la clave es correcta de la siguiente manera
if(clave = "caramelo") then
Response.Redirect "fichero.pdf"
else
Response.Redirect "clave-incorrecta.asp"
end if

No sé mucho sobre seguridad, pero me da a mí que eso no es muy seguro no?

Aunque la clave no se vaya a ver en el código fuente de la página generada, no se yo si eso es muy recomendable.

¿Alguien me puede asesorar un poco sobre el tema? Tampoco quiero que sea el sistema de seguridad más sofisticado, pero bueno, algo un poco más fiable.

Un saludo y gracias!

Algo he oído de que cuando guardes la clave, lo hagas encriptándola (con la función mod5() o algo así). Pero a ver si responde alguien que tenga experiencia en esto (o lo conozca a fondo).

Podrias usar un algoritmo de encriptación en un único sentido como MD5.

Yo haria lo siguiente:

- Elegir una clave (recomendado más de 10 caracteres).
- Aplicarle el algortimo MD5 de modo que genere la cadena encriptada (está será la que sustituya 'caramelo' en el fichero asp).
Al aplicar MD5 aunque alguien se haga con el código ASP nunca llegarán a conseguir la clave original que usaste en el punto 1.
- El formulario seguirá enviando la password al fichero asp (podrias usar SSL para que viajara protegida).
- En el fichero asp aplicar el algoritmo md5 a la password enviada. Esta se compararia contra el valor conseguido en el punto 2.

Sobre como conseguir un modelo md5 en asp prueba con google. Supongo que será rápido encontrarlo.

No entiendo que si te pillan la página asp no te pillen la clave. ¿Para aplicar el algoritmo no hace falta decir la clave, y el algoritmo se aplica desde la página asp?

Asp se ejecuta del lado del servidor por eso no te pueden pillar la clave nunca. Si recogen tu pagina asp solo veran las sentencias html generadas del lado del servidor. Es decir, asp se ejecuta en el servidor y el servidor envia la información en html al cliente por eso no pueden ver nunca ni la contraseña ni el resto del codigo de tu pagina asp.
Saludos.

No, pero es que entonces NO se habrán hecho con tu página ASP, eso que dices tú yo ya lo sé. Aquí estamos hablando de un hacker de verdad, no de un lector de código html.

Él se refería si pillaban TU PÁGINA ASP. Tal y como él lo dice, no hay lugar a dudas: "TU CÓDIGO ASP", no un código html generado por tu página asp.

Y tú dirás: ¿y cómo se va a hacer con tu página asp? Eso ni lo sé ni importa ahora (habrá miles de métodos y situaciones en las que, tal por despiste tuyo, pueda hacerse con él), pero partimos de esa base. Si no es que ni nos plantearíamos encriptar las contraseñas.

La clave generada con MD5 que uses en el fichero ASP está encriptada. Solo tu sabres cual es la cadena original usada.

Por ejemplo para la password 'caramelo' el MD5 generado es 'e508860d989854c7f47531392eceaeb3'. En tu asp compararás el md5 generado para la password introducida por el usuario contra este 'churro' de caracteres.

Como en tu código ASP no tienes el literal 'caramelo', sino el generado por MD5, es practicamente imposible que del 'e508860d989854c7f47531392eceaeb3' llegen a 'caramelo' (con paciencia si porque caramelo es menor de 10 caracteres que dicen que es el tamaño 'indesencriptable').