consulta sobre crypt

ferranWEB · #1 (**permalink**) 19/09/2011, 07:25

buenas a todos,

he encontrado un script para mejorar mis sistemas de login y password, y sobretodo a guardar los passwords encriptados en la base de datos. tengo algo asi:

para crearlo en la bd

Código:

$contrasenya1=crypt($contrasenya2, "prueba");

y algo asi para hacer la comprobacion cuando se loginan:

Código:

$array["contrasenya"]==crypt($pass,"prueba")

ahora la pregunta es muy simple. si accedo a la base de datos en el campo contrasenya tengo una cadena de caracteres tal que asi: bogzBZ/8Zr4gA

como muestro el valor desencriptado en el panel de control del usuario?

saludos!

Eleazan · #2 (**permalink**) 19/09/2011, 07:34

No puedes.

Almenos, no deberias poder.

ferranWEB · #3 (**permalink**) 19/09/2011, 08:39

entonces eleazan el usuario no puede ver su login? y si en algun momento quiero exportar la base de datos, no puedo saber el login??

saludos!

Eleazan · #4 (**permalink**) 19/09/2011, 08:43

No. Tu contraseña nunca debería ser mostrada... ni a ti, ni al admin, ni a nadie.

Es un concepto básico de seguridad. Si no, no serviria de nada la criptografia.

Puedes hacer que el usuario y/o administrador pueda cambiar esa contraseña, pero no verla (o no deberías! )

ferranWEB · #5 (**permalink**) 19/09/2011, 09:11

entonces entiendo que ese parametro siempre está encriptado? no es visible? y entonces la opción de recuperar o recordar contraseña, como se evalua?

saludos!

jotaincubus · #6 (**permalink**) 19/09/2011, 09:29

Hay muchas formas de recuperar la contraseña, las mas utilizadas son con una pregunta la cual se guarda en la base de datos y se hace la comparacion con la respuesta del usuario. Si todo va bien le colocas un campo de cambiar contraseña.

La otra es enviar un correo electronico al usuario con un codigo el cual el recobe y tu lo tomas y le muestras el cambiar contraseña.

Por ningun motivo guarde las contraseñas en texto plano en la base de datos porque esto es un riesgo de seguridad muy grande, y tampoco mandes la contraseña al correo como hacen otras paginas.

En cuanto a recordar, se utiliza una cookie la cual almacena la clave encriptada tambien y se hace la comparacion entre la cookie y la base de datos.

ferranWEB · #7 (**permalink**) 19/09/2011, 12:27

buffff jota, me he perdido!!!

cuando tu en una pagina de registro, pones recordar contraseña, no la recibes via email? no es ese el funcionamiento normal?

si no es asi, no acabo de entender como hacerlo

saludos!

jotaincubus · #8 (**permalink**) 19/09/2011, 16:56

Cuando usted coloca en una pagina "Recordar contraseña" o "No cerrar sesion" quiere decir que cuando el usuario ingrese nuevamente a la pagina no tendra que volver a escribir la contraseña o que entra a la pagina con la sesion iniciada.

En cuanto a "Normal" pues eso depende mucho de la seguridad que le quiere colocar a su sitio. Imaginese "ojala no pase" que le sacan de su base de datos la tabla donde esta almacenado el usuario y contraseña y eso esta en texto plano... entonces el que se las robo tendra acceso a su sitio con todos los usuarios, eso si seria un PROBLEMA.

Lo que realmente se hace para recuperar la contraseña es:

1. En la pagina de registro colocar "Seleccione una pregunta" entonces el usuario escribe una respuesta. En la base de datos se guarda la pregunta que escogio mas la respuesta. Cuando el usuario se le olvida la contraseña, entra a la pagina de recuperar ,ahi se le pide un dato como el nombre de usuario, hace la consulta a la base de datos y se le muestra la pregunta para que el ingrese la respuesta, si la respuesta que escribio coincide con la que esta guardada en la base de datos pues se le muestra el formulario de cambiar contraseña.

2. En la pagina de registro se le pide el correo electronico, cuando el usuario olvida la contraseña se le pide que ingrese el correo electronico, se verifica en la base de datos, si todo va bien, pues se le manda un correo con un codigo secreo aleatorio que este como parametro URL y se almacena temporalmente en la base de datos, despues se le dice que revise el correo, cuando revisa el correo esta el vinculo a su sitio con el codigo, al darle click el usuario pasa a su pagina con el codigo, usted lo toma y lo verifica con el que almaceno en la base de datos, si es el mismo pues se le pasa al formulario de recuperar contraseña.

La que yo utilizo es la segunda, porque la primera tiene el problema de que los usuarios no saben si colocaron tildes o mayusculas o minusculas en la respuesta.

Eso de enviarle la contraseña o mostrarsela implica que en su base de datos la contraseña este almacenada en texto plano o cifrada mas no encriptada. El encriptamiento es un sistema de una sola via, usted encripta y ya no puede desencriptar, mientras que cifrar es un sistemas de dos vias, usted puede cifrar un contenido y despues descifrarlo, pero son sistemas completamente diferentes.

Espero que la informacion le sirva.