seguridad en login

Estimados buenas tardes soy de chile, saben he estado viendo mi aplicacion de una tienda online pero hace unos meses alguien entro a mi panel de control.

bueno para evitar que esto vuelva a suceder puse como seguridad lo siguiente y quiero que me den sus opiniones si lo que estoy haciendo esta correcto.

1.- Dentro del archivo login.php puse un codigo que captura toda la informacion del navegador, ip, datos del s. operativo y demas, esto lo compara con la informacion que ya tengo en DB con mi datos de mi computador desde donde accedo al panel de control.

si no coincide automaticamente no muestra el formulario y me envie un correo avisando que un intruso esta en el panel.

tambien puse los estado de las cuenta a 0.

Claro que esto serviria si el intruso sabe la url del panel como la contraseña.

tambien estaba pesando en un segundo factor de autentifiacion pero no se me ocurre como hacerlo.

algunas ideas sosbre el segundo factor.

Hola amigo, en realidad sólo quiero seguir el post... ojalá alguien pueda sugerir alguna otra solución..
Supongo que el limpiado de lo que se ingresa en tu formulario de login lo haces, cierto?
De cualquier forma, yo creo q no hay sitio 100% seguro, pero al menos si que no lo pueda corromper cualquier mortal :p ...
De verdad espero los más experimentados comenten jeje
Saludos

Hola si, serializo todas las entradas y despues valido, uso PDO para evitar inyeccion sql.

seria genial que alguien con mas experiencia nos diga que ha hecho sobre esto y sugerir algo mas.

saludos

Tu método es bueno como algo adicional. A demás, solo te permitirá ingresar hasta que tu proveedor de internet te asigne otra ip, en ese momento tendrás que cambiar los datos de la BD.

Te felicito por la buena práctica de monitorear por seguridad.

En cuanto al login en si, estaría bueno saber qué tenes actualmente para poder mejorarlo, ya que si alguien ingresó a tu panel es porque descubrió tu clave de alguna forma.

No te confies en que PDO te va a salvar de cualquier inyección.

Saludos

hola y gracias por la felicitacion.

mira sobre la ip tienes razon, va a cambiar cuando me conecte de nuevo pero ahora voy a modificar el router para tener una ip fija pero igual va a pasar que me tendre que ingresar en otro equipo. es por ello que la ip no la tengo valida en 100%. en la consulta sql, es importante claro pero pienso que con la informacion sobre el navegador y otros deberia andar bien para ser una pequeña verificacion. no se que piensas tu. tambien capturo datos del tablet,pc o celular como pais, ciudad, cod ciudad, codigo pais, codigo continente si se conecta por hay .

Claro si sabe mi contraseña pero tendria que tener lo mismo requisitos del navegador y s. operativo con el que yo ingreso.

El login lo que hago es llamar a scripts en javascripts donde me encripta la contraseña y despues en php le agrego un 'has' no se si esta bien escrito.
bueno despues serializo a sting y valido de que venga encriptado a '128', si el tipo me desactiva javascipts tengo una funcion que encrita en el php la contraseña.

Que otras ideas tienes para asegurar mas el acceso.

yo estaba pensando en un segundo factor de ingreso pero no encuetro por internet, estaba pensando en gestionar unos 1000 codigo aletorios donde los almacenare en una tabla llamada codigo y que se guardaran encriptados, antes de encriptarlo lo descargo en un archivo .txt que solo tendre yo en mi pc o desarrollar una app con dichos codigos.

Cuando ingreso al login se valide las credenciales y tambien ese codigo,cuando se ingresa al panel de control ese codigo se elimina de la db en caso que algun keyloger lo capture.


no se si esta buena la idea pero es la unica que tengo en mente.

saludos

Como te decía lo de la ip esta bueno como método adicional.

A ver si entiendo un poco:
La contraseña está encriptada(mediante un hash) en la base de datos, no?
No envias por GET los datos del login, o si?

En cuanto a la contraseña, no solo es importante asegurar el login, sino todo tu sitio ya que pueden estar inyectando SQL por alguna otra parte y de esa forma te robaron la contraseña. Lo importante es que cada vez que se puede ingresar un dato, lo valides para que no puedan ingresar nada raro por ahi.

Tene en cuenta de cambiar la contraseña tanto de la base de datos y del login por el momento para asegurarte por ahora.

PD: Se dice hash, no has.

Si se guarda encriptada la contraseña hash en la db. Todo por post se envía .antes de enviar llamó función en javascrtis donde me encripta la contraseña.

Si todo se válida y serializa.

A que té refieres que pueden inyectar sql por otros lados

Te puedo enviar a tu correo parte del código para que me ayudes. Y ver si los estoy haciendo bien.


Que te pareció la forma de autentificar por segunda vez.

Hola amigo,
con respecto a la encriptación, no sería más conveniente que lo hicieras de lado de servidor?
Porque como lo estás haciendo con javascript, no es más fácil que vean tu algoritmo de encriptación?
Saludos

Lo que quiero decir es que lo único que importa no es la seguridad del login, sino que tengas en cuenta la seguridad de todo el sitio

german_1441:

si tienes razón de hacerlo por php pero que pasa si hay alguien escuchando la red (hombre al medio). estaba pensando en hacerlo en php y contratar un certificado digital para encriptar todo.

seventeen: claro seventeen la única forma de asegurar la aplicación es usando sesiones y todos los formularios están validados y serializados. tienes otros forma de poner seguridad?.

Pero tambien tenes que tener en cuenta el acceso al servidor, si es que se puede acceder por ftp, por ssh. El acceso a la base de datos.
Tambien hay que validar urls.

hola eso no se me pillaste sobre el ssh y ftp. voy a buscar info.

sobre las url me puedes dar unos datos de como hacerlo para investigar.

gracias

Con el factor de la ip ya estara seguro

Hola ip la voy dejar igual.
Sobre la validación url como se hace alguna idea.
Otra cosa tengo en la tienda con sesión el carro de compra y e acceso del cliente. Como lo hago para eliminar una sola sesión ya que cuando cierra sesión se elimina igual el carro

unset['nombre de la sesion']

ok gracias