Autenticación

Hola,

Tengo un lio montado en la cabeza. Deseo crear un menú de autenticación de usuarios pero tengo dudas de como almacenar las contraseñas.

Usando la funcion md5 de mysql tengo suficiente?? he leído por ahí que para autenticar una contraseña en md5, tenemos que enviarla al servidor, pasarla a md5 y luego compararla con la que tenemos guardada en base de datos. Esto genera un fallo de seguridad ya que mientras no llega al servidor la contraseña escrita esta sin codificar y puede ser cogida por alguien exterior.

Una solucion seria aplicar md5 en javascript y así enviar la contraseña ya encriptada. Seria la mejor solución?

Lei anteriormente que la mejor manera de autentificar seria utilizando encode para codificar y md5 para la conversion. Es eso cierto?? encode esta ya obsoleto, seria base64_encode su sustituto?? Como funcionaria esta manera de encriptar??

Como ven, tengo la cabeza hecha un lio, alguien enterado en el tema me puede ayudar por favor? gracias por adelantado

De verdad deja la paranoia ya que exageras la parte de super seguridad.

Recuerda que en un explorador un campo <input> puede ser del tipo password, eso ya no dejara que se vea el password en si.

Despues que ya meten el password y manda al servidor, como es php el lenguaje que efectuara todo el proceso nadie vera el password porque eso se queda del lado del servidor., tomas el password lo pasas por md5 y lo comparas con el de la base de datos o simplemente lo ingresas como md5 si es un nuevo usuario.

Eso es simple ponerse a multiencryptar jejeje mejor monta tu server bajo HTTPS que es una coneccion segura con certificado y que encrypta los datos.

Lo que si te digo es que la via para algo tan seguro como tu queres es https y usa md5 listo o si no es tan pero tan extremadamente seguro como un sitio de consulta de tarjeta de credito de un banco usa http normal y md5 para tus password.

ok,

gracias, me estaba volviendo loco tu

ta luego

La sulución más "transparente" para tu código y segura sería usar SSL (Secure Socket Layer) .. así todo dato entre tu cliente (navegador) y servidor (donde están tus páginas/scripts PHP) será encriptado.

Si quieres, puedes liarte con MD5() en javascript .. algo más "seguro" será tu sistema ante un "sniffer" en una red (alguien que esté capturando tus datos entre cliente-servidor) ..

La diferencia es que base64_xxx() no es una función para "encriptar" sino para "codificar" que es bien distinto .. de hecho, base64 tiene su "_encode()" y su _decode .. MD5() por el contrario es un algorítmo de encriptación de un sólo sentido (no se puede desencriptar "hash").

Un saludo,