¿Cómo guardar passwords?

un_tio · #1 (**permalink**) 28/02/2005, 13:36

En este tópic http://www.forosdelweb.com/f21/conviene-usar-1-2-indices-274106/ le dais de pasada a javier82 algunos consejos sobre guardar passwords.

Es decir, si yo tengo una página o aplicación web, que tiene registro de usuarios, recomendáis guardar las passwords no directamente.

Así, se aconseja:

"en mysql se usa la función password() o MD5(). "

¿Qué se usa en SQL Server? ¿Sería incluir esa función en la aplicación web, dentro del código ASP?

PD: creo que si uno puede acceder tanto a la base de datos como para ver los passwords, puede acceder ya a cualquier parte de la base de datos (luego le dará igual que no tenga los passwords verdaderos). Dependiendo de la aplicación, poco uso le podría dar a saber los passwords de verdad cuando ya es capaz de entrar (y tal vez manipular) en la base de datos.

javier_82 · #2 (**permalink**) 28/02/2005, 13:48

Yo tambien quisiera aue me aclaren mejor eso. Por lo que estuve averiguando md5 encripta los passwords pero no pueden desencriptarse. Hasta ahí todo bien. Pero lo que he visto yo se realiza desde la aplicación, si es una pagina web, se ejecuta la funcion md5 o similar en la misma página (en php, asp o java script) y se almacena en el servidor ya encriptada, y cuando se loguean se hace lo mismo y se compara con la clava almacenada (y encriptada).. Pero ahora se me presento la duda si puede hacerse desde MySQL. Si es que se puede ¿Cómo sería la consulta?

javier_82 · #3 (**permalink**) 28/02/2005, 15:28

Ah, era mas facil de lo que creía. Hay diferentes funciones: password('clave'), md5('clave'), encode('clave','claveparaencriptar'), decode('clave','claveparaencriptar'),

INSERT INTO table (id,usuario,password) Values ('25', 'javier_82', md5('javier'))------->>>>>>>
Esta consulta guarda en la BD la clave encriptada con md5

SELECT md5('javier') FROM tabla ----->>>>y nos muestra como queda nuestra clave "javier" encriptada con md5.

un_tio · #4 (**permalink**) 27/03/2005, 11:08

Eso en MySQL, ¿y en SQL Server?

Vice · #5 (**permalink**) 28/03/2005, 03:52

Javier, el tema de guardar la clave encriptada es para que no se pueda averiguar dicha clave. Piensa que el usuario de conexión a la base de datos no es el que escribe el usuario que intenta identificarse.
No confundas el usuario/password de acceso a una aplicación (o áreas de la aplicación) con el usuario/password de acceso a base de datos.
Por lo demás, en mysql se hace como has puesto, pues las funciones md5() y password() existen en el gestor.

En cuanto a SQL Server, lo siento pero no puedo ayudar. En último caso, si usas php, puedes insertar el dato por programación, pues si existen estas dos funciones definidas.

Un saludo.