seguridad para recoger clave por internet

hola amigos del foro. no sabia si esta pregunta es para asp o seguridad, pero ya esta aqui...

tengo una pagina web y en una seccion tiene que validarse una contraseña que se va ser ingresada por el usuario (usuario y contraseña estan en una base de datos). esta contraseña es MUY IMPORTANTE, ya que una vez validado el usuario puede modificar muchas cosas, por lo que me es muy importante la seguridad.
¿¿como lo podria hacer para ofrecer absoluta seguridad a los usuarios que van a ingresar a esta pagina???
bastara con tenerla en una base de datos(access) , antivirus, firewall...
se que hay programas que devuelven contraseñas de correo y no se que otras cosas, por eso la preocupacion
Espero comentarios y si alguien trabaja con contraseñas en internet me podria comentar como implemento su pagina...

Tienes que usar SSL y/o mejor aun certificados digitales de firma ..

El SSL es "Secure Sockets Layer - Capa de conexión segura" (lo habras visto .. son esas paginas q entras por https :// ) Con eso te aseguras que tus datos viajan entre tu servidor y el cliente (el navegador del usuario) encriptados .. evitando así "snifer" y demas técnicas para usmear tu conexión entre ese Navegador (cliente) y tu servidor ...

Entra a la página de www.sii.cl y prueba los login de entrada .. ahí veras q tienen el método SSL y SSL + certificado digital ...

El SSL te lo ha de proporcionar tu servidor .. normalmente los Srs. de tu servicio de Hostig (o si es tu PC el servidor deberas instalarlo ..) te crean un subdominio tipo https://seguro.tuservidor.tal .. o simplemente al conectar por https:// te conecta a cierto directorio (servidor virtual) de tu propio sitio y será donde tendras q ejecutar tus formularios y scripts de autentificación ...

Un saludo,

A parte de lo que te comenta el sabio Cluster, quería comentarte que además de esto y si usas por ejemplo PHP, trabajando con contraseñas, existen varias funciones para encriptarlas. como por ejemplo la función crypt() o mcrypt(). Esta última, más avanzada, necesitan tener librerías específicas instaladas en el servidor. En ASP supongo que tendrá también sus propias funcioners.

Hola

La respuesta a tu pregunta ya ha sido resulta por Cluster y Alfon, solo me gustaría agregar un comentario, citando parte de tu mensaje original:

Obviamente, las contraseñas en la base de datos deberán estar cifradas. Ahora, comentas de la existencia de un tipo de programas que devuelven las contraseñas... en el mundo real y en un buen sistema de autentificación, tu contraseña no la debe de saber NI el administrador, podrá cambiarla pero no conocerla, por ejemplo, en algunos sistemas se crea un HASH de tu password y eso es lo que se almacena en la base de datos, cuando vuelves a entrar, al teclear tu pass, se vuelve a realizar el HASH y el resultado se compara con el HASH previamente almacenado. A lo que iba, los programas que supuestamente devuelven la contraseña se basan en algo que todavía no conozco como asegurarlo: el sentido común de los usuarios, dichos programas atacan por Ingeniería Social (en pocas palabras: hacer creer que eres alguién que no eres) directamente a tus usuarios.

Alfon, olvidas mencionar a la famosa función MD5 implementada también en PHP.

Saludos,

No se me olvidó amigo raac, mis conocimientos de PHP son cortitos y no sabia de esa función. Gracias par la aclaración.

Por cierto, también se me pasó por alto el tema de la base de datos en access... ni se te ocurra. A parte, no se si esta subsanado, acces permite muy pocas concurrencias.

guauu, si claro me acorde del hashing. intentare implementarlo y en que BD, no se, pero diganme algo, cuales serian las desventajas mas evidentes si la hago en access???

ya que en primera instancia tenia pensado hacerla ahi, ojo que tampoco estamos hablando de un sistema de banco o manejo de dinero, solo recoger usuario, clave para mostrar un informe de ventas y ellos me mostraran sus sugerencias, eso si que es importante, por que las sugerencias se tomaran muy en cuenta(casi como una orden) y obviamente debe ser de la persona validada en la base de datos.
gracias a TODOS por responder, pero me queda esa duda de las mayores desventajas de access 2000.
saludos a to2.

DEBERIAS AGREGAR UNA OPCION PARA QUE EL USUARIO CAMBIE SU CONTRASEÑA FRECUENTEMENTE. Y A SU VEZ ADVERTIRLE EN DETERMINADOS TIEMPOS QUE DEBE CAMBIAR SU CONTRASEÑA POR SEGURIDAD.

CON ESTO TE EVITAS QUE LOS "SCRIPTS ADIVINOS".
(GENERADORES DE PASSWORDS ) VAYAN QUEMANDO COMBINACIONES.

MIENTRAS MAS FRECUENTE SEA EL CAMBIO DE CONTRASEÑA MEJOR ASI HAY MENOS PROBABILIDAD DE QUE LA SAQUEN.

;)