Duda: Cifrar las claves generadas de manera aleatoria

AdansSon · #1 (**permalink**) 01/10/2014, 01:51

Buenas a todos.

Quería preguntar por aquí a ver si alguien o entre todos me dan algo de luz en este tema que me tiene algo bloqueado.

Se que las contraseñas de los usuarios han de cifrarse antes de guardarlas en la base de datos, más que nada porque es un "dato personal", y esa misma contraseña puede que la usen para otras cuentas y demás.

Ahora bien, mi duda es, si la clave del usuario no es creada por el mismo, sino que la genero yo aleatoriamente, ¿esta también tendría que cifrarla?
Añado además que esta clave no sería para acceder a su cuenta de usuario, sino a un contenido especial.

Espero que haya quedado clara la duda y doy las gracias de antemano.

gnzsoloyo · #2 (**permalink**) 03/10/2014, 05:56

Cita:

Ahora bien, mi duda es, si la clave del usuario no es creada por el mismo, sino que la genero yo aleatoriamente, ¿esta también tendría que cifrarla?

Habría que ver la regulación de tu país, pero en principio si sólo dice que las contraseñas se deben encriptar, no hace diferenciación alguna al origen de la misma.
Por otro lado, es algo medio de cajón: Una contraseña SIEMPRE se encripta, aunque más no sea por seguridad...

En cuanto a "dato personal", tienes que acudir a tu legislación. En mi país (Argentina), por ejemplo, directamente hay datos que NO se pueden guardar, ni aunque te los haya dado el cliente voluntariamente. Tenerlos en tu base de datos es simplemente ilegal.
Otros están prohibidos por las entidades financieras, como por ejemplo los códigos de seguridad y los números de tarjetas. Para eso proveen las intefases de validación, que cuentan con protocolos de aseguramiento.

AdansSon · #3 (**permalink**) 08/10/2014, 06:04

Cita:

Iniciado por gnzsoloyo

Habría que ver la regulación de tu país, pero en principio si sólo dice que las contraseñas se deben encriptar, no hace diferenciación alguna al origen de la misma.
Por otro lado, es algo medio de cajón: Una contraseña SIEMPRE se encripta, aunque más no sea por seguridad...

En cuanto a "dato personal", tienes que acudir a tu legislación. En mi país (Argentina), por ejemplo, directamente hay datos que NO se pueden guardar, ni aunque te los haya dado el cliente voluntariamente. Tenerlos en tu base de datos es simplemente ilegal.
Otros están prohibidos por las entidades financieras, como por ejemplo los códigos de seguridad y los números de tarjetas. Para eso proveen las intefases de validación, que cuentan con protocolos de aseguramiento.

A ver, la contraseña (que no es la del usuario), se guarda cifrada en la base de datos, el problema que tengo es que esa contraseña es para acceder a un contenido compartido entre 2 personas. Tal contenido es de pago.

El problema que tengo es que para enviar la contraseña de ese contenido a la 2ª persona (por correo), recibo la contraseña en los datos del pago (movidas del IPN), cosa que me parece "ilegal", aunque la contraseña no sea del todo personal, pues la genera la aplicacion aleatoriamente. Aún así, sigo pensando que puede ser ilegal.

Quizás la solución más sencilla sea no enviar las contraseñas de este contenido a ninguno de los usuarios y que ellos mismos se pongan en contacto y se la pasen entre ellos.

Gracias por la respuesta.