MD5 y SSL

jctoledo · #1 (**permalink**) 26/09/2011, 15:33

Buenas tardes. No sé si este foro sea el correcto.

Estoy en la necesidad de instalar un sistema hecho en php en un servidor VPS Linux. Evidentemente quiero proporcionar la mayor seguridad posible y para ello, estoy colocando el sistema dentro de un SSL, sin embargo exagerando en la seguridad me interesa mucho aplicar un javascript para encritptar las contraseñas (MD5) en los equipos clientes para que la misma viaje encriptada, pero he leído que no es recomendable usar javascript para convertir a MD5 si uso SSL.

Alguien tendría algún comentario de esto? Les agradezco mucho.

Saludos

Raziel_Ravenheart · #2 (**permalink**) 27/09/2011, 06:12

Pues lo único que te puedo asegurar, es que si deseas que la contraseña viaje encriptada, tienes que hacerlo desde el equipo del usuario, y para manipular estos datos, la única herramienta con la que contamos es javascript. en cuanto a lo de ssl, no he leido mucho y me toca implementarlo pronto, pero hasta donde se, si lo que deseas es poder encriptar de forma segura y la contraseña, y luego desencriptarla, no te recomiendo MD5, por que este algoritmo, solo sirve en una dirección, no sirve para desencriptar la contraseña, y además ya hay personas que han podido descrifrarlo.

Se me olvidaba, en algunos casos como estos, el MD5, no es aconsejable para encriptar, pero se utiliza como suma de chequeo (checksum) o hash, pero no se utiliza solo este para encriptar:
http://es.wikipedia.org/wiki/Hash

Acá todo sobre MD5:
http://es.wikipedia.org/wiki/MD5

Generalmente, para informarme sobre algún tema de estos, primero voy a wikipedia:

http://es.wikipedia.org/wiki/Transport_Layer_Security

Y luego busco más información, comparando todo lo que leo, como en estos links:

http://www.iec.csic.es/criptonomicon/ssl.html
http://es.kioskea.net/contents/crypto/ssl.php3

Aquí hay mucha información interesante, pero está en ingles por que es de una herramienta muy utilizada por los entusiastas del software libre:
http://www.openssl.org/

Y también te recomiendo qu leas sobre HTTPS:
http://es.wikipedia.org/wiki/Hyperte...rotocol_Secure

Y algo más sobre exploits para ssl, pero nada realmente dañino:
http://www.itespresso.es/rompen-el-c...tls-53049.html

Espero que toda esta información te haga ver con más claridad, lo que yo pronto espero aprender.

Exitos

oscarbt · #3 (**permalink**) 27/09/2011, 06:19

efectivamente sirve javascript, pero cuidado: si lo deshabilitan?......donde queda la seguridad?....Te recomiendo que si vas a usar javascript le metas mas seguridad al lado servidor...Para mayor seguridad, no almacenes contraseñas en tablas, hazlo directamente en el motor de base de datos....

jctoledo · #4 (**permalink**) 27/09/2011, 09:04

Muchas gracias por sus comentarios, en cuanto a SSL según he leído es lo más seguro para el encriptamiento de información aunque más bien lo veo como una vpn.

Estudiaré sus recomendaciones.

Saludos

dksoft · #5 (**permalink**) 27/10/2011, 13:59

Te tengo una buena recomendacion

usa el SSL pero para doble seguridad has lo siguiente.

Encripta la contraseña por MD5 mediante javascript y una ves llege al servidor la combiertes asi
$pass = md5(sha1($pass));

esta es una manera de la cual sera imposible desencriptarla o obtener la palabra aun sin SSL

dksoft · #6 (**permalink**) 27/10/2011, 14:03

De esta manera.

Es enviada encriptada a travez de internet y nadie sabra la contraseña original. al llegar al servidor la encriptara de nuevo para que no sea la misma a la que se encuentra en la base de datos y no podran localizar al usuario.

Pero con SSL ademas de que las passwd encriptadas viajan seguras, estaran aun más si logran decifrar el SSL, cosa que es bastante remota.

Envia PassMD5 > SSL > Internet > SSL > Sevidor > md5(sha1()) > Base de Datos.