Encriptación de password en ASP

ashketchum · #1 (**permalink**) 29/07/2002, 16:25

Hola a todos, como ya sabran yo soy ashketchum y acabo de terminar este código que permite encriptar mediante aumento de ASCII en los caracteres una contraseña comun a código inservible, espero le sea de utilidad el código de hecho es muy sencillo pero aqui esta:

este es el que codifica:

Código:

&lt;%
'aqui rescatamos el request.form de nuestro formulario
Contrasena = Request.Form(&quot;campo&quot;)
Function ContrasenaCodifica(Contrasena)    
    Dim vLongitud, vCaracter, vCodificado
    vLongitud = Len(Contrasena)
    vCodificado = &quot;&quot;
    For vCaracter = 1 To vLongitud
        vCodificado = vCodificado &amp; Chr(Asc(Mid(Contrasena, vCaracter, 1)) + 50)
    Next
    ContrasenaCodifica = vCodificado
End Function
%&gt;

y este descodifica :P:

Código:

&lt;%
Contrasena = ContrasenaCodifica(Contrasena)
Function ContrasenaDecodifica(Contrasena)
    Dim vLongitud, vCaracter, vCodificado
    vLongitud = Len(Contrasena)
    vCodificado = &quot;&quot;
    For vCaracter = 1 To vLongitud
        vCodificado = vCodificado &amp; Chr(Asc(Mid(Contrasena, vCaracter, 1)) - 50)
    Next
    ContrasenaDecodifica = vCodificado
End Function
%&gt;

espero que les sirva de algo

saludos y suerte

<img src="http://www.velazquez.com.mx/masteraspx/firma.jpg" width="465" height="79" border="0" usemap="#URL">
<map name="URL">
<area shape="rect" coords="270,48,347,61" href="http://www.masteraspx.tk" target="_blank">
</map>

bakanzipp · #2 (**permalink**) 29/07/2002, 16:30

excelente aporte...

algo que siempre preguntan

Sir Matrix · #3 (**permalink**) 29/07/2002, 16:52

si está muy bueno, Gracias ashketchup (?) :prohibido

Oneyda · #4 (**permalink**) 29/07/2002, 23:43

Justo lo que andaba buscando. Voy a probarlo. Gracias por publicarlo.

Mato · #5 (**permalink**) 30/07/2002, 06:23

Muy bueno el codigo, pero tengo una duda...
cuando me podrian robar el password? Si me roban la base de datos?

ashketchum · #6 (**permalink**) 30/07/2002, 09:24

No necesariamente si te roban la base de datos, si te fijas bien, esta página ForosdeWeb, almacena tu ID, Pass, Nombre y mas cosas en una Cookie que no esta encriptada y de esa forma si tu vas a un Cyber o la máquina es de un amigo que sabe un poco mas que tu, sin niungún problema te puede robar el pass y ahi ya no hay nada que hacer, lo que yo propongo aqui es tanto para una base de datos como para una cookie, el metodo en que utilizes el código ya es por tu parte...

saludos y suerte

<img src="http://www.velazquez.com.mx/masteraspx/firma.jpg" width="465" height="79" border="0" usemap="#URL">
<map name="URL">
<area shape="rect" coords="270,48,347,61" href="http://www.masteraspx.tk" target="_blank">
</map>

Sir Matrix · #7 (**permalink**) 02/08/2002, 18:20

Estaba probando el código en la página que recibe el formulario del login,
Pero entonces ya no sirve de mucho pues los datos ya han sido enviados al servidor y alguien con un sniffer puede captarlos ANTES que sean encriptados.

Por lo tanto si queremos encriptar la password debería ser ANTES de enviarla, en script del lado del cliente. Pero si hacemos esto cualquier persona que acceda al source de la página Login, podrá saber la fórmula que se usa para encriptar

.

Entonces qué es lo que se puede hacer para encriptar?? o para qué sirve en realidad??

Sir Matrix · #8 (**permalink**) 02/08/2002, 18:40

Acabo de detectar un problema, cuando es encriptada la letra "n" ésta se transforma en un espacio, y cuando va al final, access automáticamente la suprime, quedando trunca la contraseña.

Por ejemplo si la contraseña es "bacan", al encriptarla queda como "”“•“ ", y como access elimina el caracter en blanco, al desencriptarla queda como: "baca"

qué se puede hacer para solucionar esto?

saludos

<p align="center">
<EMBED src="http://www.webmagic.cl/firmafdw.swf" quality=high wmode=transparent WIDTH="260" HEIGHT="60" NAME="wc"></EMBED>
</p>

aspMANIA · #9 (**permalink**) 02/08/2002, 20:19

si esta se encripta en el cliente,existe la posibilidad...de obtenerla al ver el codigo!!!
Entonces debemos encriptarla en el cliente y ademas encriptar el codigo!!!!!1

bakanzipp · #10 (**permalink**) 04/08/2002, 16:28

Cita:

Por lo tanto si queremos encriptar la password debería ser ANTES de enviarla, en script del lado del cliente. Pero si hacemos esto cualquier persona que acceda al source de la página Login, podrá saber la fórmula que se usa para encriptar .

Entonces qué es lo que se puede hacer para encriptar?? o para qué sirve en realidad??

Facil Sir, utiliza componentes para la encriptacion...lo unico que podras ver en el asp sera algo asi

objeto_encriptar=CreateObject("Encriptar.Clas e");

hace mucho tiempo baje una componente que encripta...le hice unas modificaciones al codigo d eencriptacion porke tenia unos pekeños baches...

cuando tenga tiempo la posteare y mencionare como se usa. al cliente solo le pasas el archivo .dll y tu te quedas con el proyecto

:)

Sir Matrix · #11 (**permalink**) 05/08/2002, 08:28

Hola Bakanzipp, gracias por la respuesta, pero no se usar clases, podrías explicar un poco más qué es lo que se debe hacer?? En el asp se debe crear la clase y luego usar esa misma clase del lado del cliente??

además hay que instalar una dll en el servidor??

Un saludo

bakanzipp · #12 (**permalink**) 05/08/2002, 09:19

a ver si...

al usar componentes..o sea crear una componente en visual basic (puede ser c tambien), los modulos del proyecto se dividen en clases (asi como al hacer un ejecutable en visual se dividen en form)..

entonces en la dll tu creas la clase y dentro de estas sus funciones (al igual que en un formulario frm)...entonces tu desde la pagina asp lo unico que envias es un parametro de entrada (que en este caso seria la clave del usuario) y la funcion de vb te genera la password encriptada y te la devuelve a la pagina.

seria algo asi:

Código:

  
Dim Objeto

'con esta declaracion le dice que vas a ocupar esta clase de la dll (ya que pueden ser una o mas clases por dll)

Objecto=CreateObject(nombre_dll.clase_dll)

'ahora esta clase puede tener una funcion que encripte...vamos a llamar a esta funcion y como resultado nos entregara la pwd encriptada..como parametro de entrada le enviamos la pwd no encriptada

Dim Pwd_Enc

'donde pwd es la pwd no encriptada
Pwd_Enc=Objeto.Encriptar(Pwd)

y listo...tenemos la password encriptada...como ves desde el asp tu solo veras 3 lineas de codigo y la encriptacion estara alojada en la dll...

la funcion hay que hacerla enla dll y listo

Código:

Public Function Encriptar(ByVal Pwd As String) As String

'metodo de encriptacion
...
...
...
....

End Function

La dll la tienes que registrar en el server...eso si...sin eso no podemos hacer nada...

saludos amigo

;)

bakanzipp · #13 (**permalink**) 05/08/2002, 09:28

ah mato una aclaracion

Cita:

Muy bueno el codigo, pero tengo una duda...
cuando me podrian robar el password? Si me roban la base de datos?

la idea de encriptar las claves te provee doble segurida...

1.- que no envies la clave sin encriptar via un post o algo por el estilo
2.- que en tu base de datos la pwd se guarde encriptada

asi ep...asi si te roban como dices tu tu bd vana a ver puros gerogrificos y cosas raras :P

entonces antes de buscar al usuario encriptas la pwd y el resultado de esa clave es la que buscas en la b de datos. ;)

:)

noelricardo · #14 (**permalink**) 06/08/2002, 08:41

Amigos y que paso con el error de encriptacion de la letra n

Modificaron el codigo ??

Sir Matrix · #15 (**permalink**) 08/08/2002, 10:13

nadie sabe mas de esto??

ashketchum · #16 (**permalink**) 08/08/2002, 10:20

A ver, cual es el problema en si que tienen, yo he descodificado sin problemas la n numeros acentos y demas, asi que ¿en donde es la falla?

para poder ayudarles partan desde 0 y empiezen por lo más básico, encripten directamente en la DB y despues descodifiquen por código ASP, y si va a ser por Cookie pues codifiquen la Cookie, no lo dejen como aqui en FDW...

saludos y suerte

<img src="http://www.velazquez.com.mx/masteraspx/firma.jpg" width="465" height="79" border="0" usemap="#URL">
<map name="URL">
<area shape="rect" coords="270,48,347,61" href="http://www.masteraspx.tk" target="_blank">
</map>

Sir Matrix · #17 (**permalink**) 08/08/2002, 10:27

Hola Ashketchum, cuando ya tienes la password codificada y la voy a meter a la BD (codificada) la n va como un espacio en blanco, y SI VA AL FINAL, Access suprime ese caracter dejando la contraseña trunca. La solución es no ingresar la password ENCRIPTADA a la base de datos??

No he probado con otro tipo de base de datos, puede que sea un problema de access solamente, o una opción en el campo, voy a revisar.

Un saludo

ashketchum · #18 (**permalink**) 08/08/2002, 10:34

OK, yo tambien voy a fijarme en eso, la verdad ese código lo ocupo desde VB para aplicaciones con Access y no me ha dado lata, segun yo lo adapte para ASP, pero voy a fijarme y yo les aviso

saludos y suerte

<img src="http://www.velazquez.com.mx/masteraspx/firma.jpg" width="465" height="79" border="0" usemap="#URL">
<map name="URL">
<area shape="rect" coords="270,48,347,61" href="http://www.masteraspx.tk" target="_blank">
</map>

ashketchum · #19 (**permalink**) 08/11/2002, 18:41

SOLO ES UNA PRUEBA DE MI FIRMA... EN UN MENSAJE VIEJO

ElAprendiz · #20 (**permalink**) 12/11/2002, 23:29

ta que soy me hiciste leer todo esto para nada

picoloday · #21 (**permalink**) 15/10/2003, 09:57

excelente codigo, sirve muchisimo.. gracias..

douglastrejos · #22 (**permalink**) 21/04/2005, 12:14

Para todo estos comentarios de encriptacion les recomiendo la funcion md5 de PHP que calcula una ecriptacion para una cadena de caracteres y para protegerse del lado del cliente este .js ubicado en la siguiente direccion http://pajhome.org.uk/crypt/md5/

Les aseguro que nadie les vera sus claves, espero q sea de utilidad. Estas son una de las miles de bondades de php

Nono Martínez · #23 (**permalink**) 22/04/2005, 13:08

totalmente de acuerdo con douglas.

Pregunto,.. ¿Habria alguna forma de generar una cookie segura que no fuera guardando la ID? O quizas guardarla encriptada dentro de la cookie e ir desencriptandola y comparandola en tiempo real... O restara rendimiento a la aplicación. Me quita el sueño la verdad.

A ver si alguien puede ayudarme.

lcunhao · #24 (**permalink**) 06/03/2006, 14:01

Gracias por la contribucion

Myakire · #25 (**permalink**) 06/03/2006, 16:57

Cita:

Iniciado por douglastrejos

Para todo estos comentarios de encriptacion les recomiendo la funcion md5 de PHP que calcula una ecriptacion para una cadena de caracteres y para protegerse del lado del cliente este .js ubicado en la siguiente direccion http://pajhome.org.uk/crypt/md5/

Les aseguro que nadie les vera sus claves, espero q sea de utilidad. Estas son una de las miles de bondades de php

En ASP se implementa fácil o más fácil aún, se baja ya implementada

: http://rossm.net/Electronics/Compute...tware/ASP/#MD5