Cifrar contraseñas

scout_vlc · #1 (**permalink**) 23/07/2008, 05:57

HOla,
estoy haciendo el proyecto final de carrera, un portal web, y a la hora de registrar a los usuarios, no sé cómo cifrar las contraseñas.
He visto esto que pone al princpio de este hilo:

Código PHP:

  Imports System.Web.Security  'Para WebForms 
Imports System.Security  'Para WinForms 
 
..... 
 
Dim pass As String = Me.txtPass.Text 
Me.lblSHA1.Text = FormsAuthentication.HashPasswordForStoringInConfigFile(pass, "sha1") 
Me.lblMD5.Text = FormsAuthentication.HashPasswordForStoringInConfigFile(pass, "md5")

Lo estoy haciendo con PHP+MySQL, con plantillas smarty, yo tengo esto:

Código PHP:

          $pass = stripslashes($_POST["password"]); 
        $pass = strip_tags($pass); 
        $smarty->assign('pass', $pass); 
                                   ...... 
//compruebo que no existe..etc y lo ingreso en la BD 
 
    mysql_query("INSERT INTO usuarios (login,nombre, apellidos, email, password, direccion, conexiones, ganador) values ('$login', '$nombre','$apellidos','$email','$pass', '$direccion',0,0) ", $link);

Quisiera saber cómo pongo lo que habéis dicho para cifrar la password, algo como...

Código PHP:

  Imports System.Web.Security; 
             
            Dim pass As String = Me.txtPass.Text 
            Me.lblSHA1.Text = FormsAuthentication.HashPasswordForStoringInConfigFile(pass, "sha1"); 
            Me.lblMD5.Text = FormsAuthentication.HashPasswordForStoringInConfigFile(pass, "md5");

cambio txtPass por $pass, termino con ; las sentencias? cómo hago para que guarde en la BD la pasword cifrada? tengo que mofidicar lo que habéis escrito al principio y adecuarlo a mis variables, no???
Perdonad por tanta duda
muchas gracias

salu2
àlex

ACX_POISON · #2 (**permalink**) 23/07/2008, 07:41

Sugerencia puedes utilizar md5 0 sh-1 para cifrar el pass, y luego guardarlas en la BBDD

espero te sirva...

chitoso · #3 (**permalink**) 23/07/2008, 08:33

Tan simple como:

Código PHP:

  $password = 'UsU4ri0'; 
 
$pass_encriptado = md5($password);

Para hacerlo aun mas seguro, ya que es un proyecto final y de porte mediano, puedes utilizar una tecnica que utilizan algunos sistemas, Se llama 'Salting' en ingles.
Y consiste en agregar un 'salt', una cadena de texto antes de calcular el hash a cada string. Sirve para evitar ataques de diccionario o fuerza bruta.

Algo asi, basicamente:

Código PHP:

  $salt = '&QWERTYYTREWQ&'; 
$pass_encriptado = md5($salt . $password);

Saludos

scout_vlc · #4 (**permalink**) 24/07/2008, 12:26

Muchas gracias!
Funciona correctamente....ahora perdona mi ignorancia en este campo...
Veo que en la base de datos, se me guarda u string de letras (la pass cifrada)
cómo hago para cuando se loguean, confirmar que la password es correcta?

Muchas gracias :)

alonsoandres · #5 (**permalink**) 24/07/2008, 12:42

hola scout_vlc, para eso, tendrias que decifrar el password de la base de datos y despues compararla con la insertada en el formulario.

scout_vlc · #6 (**permalink**) 24/07/2008, 12:43

y cómo la descifro?? es lo que quiero saber...como lo pongo?

alonsoandres · #7 (**permalink**) 24/07/2008, 13:00

mira, yo lo haria de esta manera.
Obtendria el password insertado del formulario de login. Ese mismo password lo cifraria denuevo usando lo que menciona chitoso y despues lo comparo el password del usuario en la base de datos. Deberia de funcionar dado a que si el password es correcto, generaria el mismo hash que se encuentra en la base de datos.

chitoso · #8 (**permalink**) 24/07/2008, 13:09

Cita:

Iniciado por alonsoandres

hola scout_vlc, para eso, tendrias que decifrar el password de la base de datos y despues compararla con la insertada en el formulario.

Cuidado, esto es incorrecto. Lo que estamos haciendo con un HASH es cifrar la información pero solo "hacia un lado", es decir, no se puede DEcodificar (facilmente, idealmente).

La manera de proceder, para autentificar la contraseña, como bien dice en el ultimo post, es obtener el pass cifrado, cifrar el que provee el usuario y comprarlos. Es una practica bastante basica, puedes encontrar mas informacion si buscas un poco en el foro.

alonsoandres · #9 (**permalink**) 24/07/2008, 13:26

Cita:

Iniciado por chitoso

Cuidado, esto es incorrecto. Lo que estamos haciendo con un HASH es cifrar la información pero solo "hacia un lado", es decir, no se puede DEcodificar (facilmente, idealmente).

La manera de proceder, para autentificar la contraseña, como bien dice en el ultimo post, es obtener el pass cifrado, cifrar el que provee el usuario y comprarlos. Es una practica bastante basica, puedes encontrar mas informacion si buscas un poco en el foro.

Ha perdon, se me fue jeje

gracias por aclarar eso, jeje.

scout_vlc · #10 (**permalink**) 28/07/2008, 05:43

Hola!
Ya me funciona correcto todo lo de registrar usuarios que so comenté, pero algo tan sencillo (aparentemente) como autenticar, no me va...
Si obvio la codificación, si funciona, pero si hago esto:

Código PHP:

                      $pass = $_POST[password]; 
        $pass = stripslashes($_POST[password]); 
        $pass = strip_tags($pass); 
        echo "-----------------\n"; 
        echo ($pass); 
        echo "-----------------\n"; 
        $salt = '&QWERTYYTREWQ&';  
        $pass_encriptado = md5($salt . $pass);  
        echo "-----------------\n"; 
        echo ($pass_encriptado); 
        echo "-----------------\n"; 
 
    $usuarios=mysql_query("SELECT * FROM usuarios WHERE login='$_POST[login]' AND password='$pass_encriptado' ", $link); 
 
    if($user_ok = mysql_fetch_array($usuarios)) //si existe comenzamos con la sesion, si no, al index 
        { 
    ... 
}

no funciona, me da error, probando con echo, me aparece que no encuentra ningún registro en la BD.
Me aparece bien por pantalla:

----------------- 8salaplu----------------- ----------------- f059508b7c297db70b1fcf557fdc23de-----------------

Gracias!

desendoll · #11 (**permalink**) 28/07/2008, 06:09

mysql_fetch_array($usuarios) debe devolverte un array.

Deberías ponerte en la posición del pass

$array= mysql_fetch_array($usuarios);
$array['password']

chitoso · #12 (**permalink**) 28/07/2008, 06:53

Deberías primero obtener el usuario que esta intentando acceder. LUEGO, recien ver si coincide su pass.
No se donde esta tu error, pero autenticar usuarios es una tarea bastante sencilla, trqata de leer un poco mas en el foro antes de tirarte de cabeza. Hay mucha información.

scout_vlc · #13 (**permalink**) 29/07/2008, 05:33

Hola,
tanto mirar, y lo que no tenía bien, es en al estructura de la tabla,e l campo password lo tenia como un string de 15, porque empecé sin cifrarlo, al cifrarlo ocupa unos 32 caracteres, pero no lo cambié, entonces se guardaban los 15 primeros, y al autenticar nunca correspondía jeje.
Ya está cambiado, y me ocurre lo siguiente: la sentencia SQL la compruebo con un echo y es correcta, la copio y pego en phpMyAdmin y me devuelve el usuario correcto, pero la ejecuto en la web y me da este error:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in C:\wamp\www\plantillas\autenticar.php on line 17

Mi código es:

Código PHP:

      $usuarios= "SELECT * FROM usuarios WHERE login='" . $_POST['login'] . "' and password='$pass_encriptado'";   
    echo ($usuarios); 
    if($user_ok = mysql_fetch_array($usuarios)) //si existe comenzamos con la sesion, si no, al index -- esta es la linea 17 
    { 
.....

chitoso · #14 (**permalink**) 29/07/2008, 06:31

Mira mysql_fetch_array