Cifrado con PHP o SSL para ingreso de usuario

Hola!!!!!
Resulta que como muchos de nosotros necesito hacer una página web en la que haya una zona para usuarios registrados. Esto lo hago mediante variables de sesión.
Mi problema es que cuando envío desde el formulario de ingreso del usuario (con un POST) el nombre de usuario y contraseña para verificar que es un usuario correcto, no le hago nada a esos datos para cifrarlos ni protegerlos, los envío directamente.

¿Cual seria vuestra recomendación? Cifrarlos antes de enviarlos con una función hash como SHA-1 o MD5, utilizar SSL para que el canal sea seguro, utilizar MCRYPT... ??? O no hace falta protegerlos xq no son tarjetas de credito o cosas así...

Gracias a todos!!!

Hay unos JavaScript que cifran campos antes de salir de la pagina.

(Es exactamente lo que sucede al loguearse en FDW).

Busca uno que sea gratuito, y lo colocas en tu pagina.

Si un usuario coloca en el campo clave: 12345 el JavaScript envia por GET o POST lo que da md5('12345')

Salu2!.

Hola otra vez!!! he seguido tu consejo y he buscado por ahí información sobre cifrar con javascript --> http://www.programacion.com/php/articulo/md5/

Pero resulta que parece k no es muy seguro, porque a parte de la contraseña cifrada tambien hay k enviar el numero que completa a la contraseña antes de utilizar la funcion hash MD5.
Si alguien cogiera la contraseña cifrada con MD5 y el numero, podría generar la contraseña cifrada. ¿no?

A lo mejor m stoy metiendo en muxos follones de seguridad cuando la pagina es una tonteria d na...

Salu2

Bueno, desciframe este passsword pues:

"827ccb0eea8a706c4c34a16891f84e7b"

No es la clave que usaria una persona comun, ahora imagina:

md5('mi_verdaera_clave')

Descifralo...

No posible ser...

Salu2!.

Que casualidad...

Buscando como hace yahoo para que siempre que se carga su pagina de mail el PROMPT del mouse queda en la caja de correo, mire el CF, y adivinen que salio!...

Pues una funcion MD5 de esas que mencione, el autor es:Ahora, creen ustedes que Yahoo utilizaria esto si fuera algo inseguro?.

Bueno...

Alguien sabe cual es el servicio GRATUITO + inseguro de correo?.

Salu2!.

Los usuarios los tenés guardados en una base de datos? en un archivo?
De cualquier forma, lo que te recomiendo es que guardes el password encriptado con md5 y a la hora de abrir la sesión, encriptar también el password envíado por POST y compararlo con el guardado que ya está encriptado.

Principalmente te lo recomiendo porque como usuario no me gusta que cualquier admin vea el password que uso.

EDIT: no entiendo que es lo que quieren hacer con javascript, pero de cualquier modo, no creo que sea seguro. La función toma una cadena de algún lado, con buscar de dónde la agarra ya puedes tener la versión desencroptada, no? Tengo una función de js para JavaScript, si les sirve se las puedo pasar.

Suerte
Fede

Pues si puedes pasarla xa ver tu version, te lo agradecería!!

Anarko, parece k crees suficiente protegerla con javascript sin que me meta
en 'fregaos' de ssl y tal, n??? Cuando usarías SSL?? sólo con cuentas bancarias o cosas así???
De toas maneras, con mis pobres conocimientos sobre criptografía, creo que seria seguro. Porque quien intercepte la clave cifrada (128 bits obtiene la funcion hash md5) sólo podrá obtener la clave eligiendo posibles claves en texto plano, cifrarlas con md5 y ver si coincide con mi clave cifrada.

Gracias a los 2 x contestar!!

Les pongo un link: http://www.fedeblog.com.ar/md5.js

Suerte
Fede

Encriptar en "javascript" ló único que sirve es para "cifrar" esa comunicación cliente-servidor .. pero está claro que si sabes quien es el "cliente" (tu página) y vas a ella -> ver código fuente) vas a ver la "semilla" o algorítmo que se use para encriptar dicha "comunicación" (variables que luego pasan por el URL).

Por eso si hablan de "encriptación" .. usen SSL y listo .. se olvidan de todo .. El SSL es transparente para PHP, se instala en el servidor HTTP y se usa como si no fuera encriptado (cara a PHP).

Un saludo,

hola cluster!!
ya sé que SSL es más seguro. Pero entonces, me estás diciendo que forosdelweb.com, k utiliza la funcion resumen MD5 con javascript para el inicio de sesión sería inseguro?? Bastaría ver el codigo fuente y un programa sniffer xa ver los datos que se envían xa sacar las contraseñas y nombres de usuario????

Gracias. XAo

Por mi parte he hablado de "semilla" con respecto a un sistema para encriptar en ambos sentidos (encriptar/desencriptar) .. no de MD5 que es un "hash" de un sólo sentido ..

Pero .. si no usas SSL .. si usas MD5() en el lado del cliente .. para una validación en el lado del servidor si se usó MD5() .. no sé como lo trabajan del lado del "servidor" . .en teoría podría compara con mi "contraseña" en MD5() en mis BD .. si eso viaja por TCP/IP . .con un "sniffer" (en una red) sería fácilmente capturado .. y si es así ese mismo MD5() podría tomarlo e ingresarlo directo al script.php?pass=7987asdf899asdf para "autentificarme" en ese sistema y una vez autentificado tal vez ir a ver el "perfil" del usuario, hacer acciones bajo ese usuario .. Pero, supongo que eso no vendrá sólo sino en compañia de una cookie tal vez o algo más ..

Un saludo,

Hola de nuevo!!

Respecto a eso que dices de meter directamente la función resumen (09ba565ffdd5646d) como contraseña e ingresar en el sistema, no serviría porque se volvería a utilizar md5 y se crearía otro valor resumen respecto al valor resumen introducido....

Además, en la BD de los usuarios estaría en texto plano la contraseña y nombre de usuario. Con PHP se aplicaría MD5() a la contraseña obteniendo un valor resumen. Se compararía con el valor resumen enviado desde el cliente, y si son iguales CORRECTO!.
Ningun pass tendría k viajar por TCP/IP en texto plano.

Xaooo