como ustedes codifican un password

que forma les parece más segura para codificar un password.

usando un Hash, MD5, SHA1 entre otros.

No tengo ni idea sobre el tema, pero una aclaración; si que uso MD5 para otras cosas y el manual php desaconseja usarlo para paswords, así como sha1!:
http://www.php.net/manual/es/faq.pas...words.fasthash

Saludos!

bueno, el manual hace referencia a esos en particular, pero en esencia puedes usar otros algoritmos

Cual es el mas seguro???

realmente no manejo ésa información, podrías averiguar por separado, puede que hasta exista una tabla comparativa, saludos

mmm....

Hay que investigar ese dato. Claro que el que genere una mayor cantidad de bits encriptando la cadena será el más seguro, supongo...

Alguien sabe o puede pasar link, sobre cuantos bits genera la codificación de los encodes disponibles en PHP??

Tal y como comentan en el articulo hay algoritmos más "pasados" que otros, aunque también depende de fuerza de la contraseña. De nada sirve utilizar un blowfish si luego el usuario utiliza como contraseña "1234". SHA1 con una contraseña de un mínimo de 6 caracteres con Mayúsculas/minúsculas, algún simbolo y algún número es mas que suficiente a no ser que trates de guardar datos de tipo médico o bancario.

Yo creo que hash, además no pueden existir 2 hash iguales. ::: considerando lo siguiente.

Creo, no tengo ese dato, pero alguien por aquí dijo que el algoritmo hash de PHP es el mismo que se ocupa para generar el "hash" -> referencia a objetos de la Java VM. Y yo en algún lado leí que no existe posibilidad que existan 2 referencias a objetos iguales. Entonces supongo que si HASH hace esto entonces es muy buena opción.

que opinan?

Yo personalmente utilizo md5() para encriptar las pass y meterlas encriptadas a la BBDD.
Me parece un método bastante seguro

en efecto, la idea del hash es que no existan 2 iguales, aunque con ciertos algoritmos como el MD5 se han encontrado irregularidades de hasta 2 hahes iguales provenientes de orígenes diferentes, son casos extremos, por eso MD5 se emplea para casos para mejorar el rendimiento, aunque existen muchos algoritmos más

Un artículo interesante al respecto.
http://www.baluart.net/articulo/ente...asenas-seguras

Saludos,

Si verdad, yo tampoco me creo el que no existan 2 hash iguales haha. Al menos que cada bite lo encripte en 20155 bits resultantes, haha osea la palabra "hola" la podría encriptar en 4*20155 formas distintas, entonces así puede que me crea que no existirán 2 referencias iguales hasta dentro de 100 años xD

Yo nunca había planteado un problema como este, ustedes que ya han utilizado estos algoritmos que hacen para hacer más segura una password?

La encriptan con hash y luego la cadena resultante la vuelven a encriptar con md5? (por decir un ejemplo)

y que tal si a la cadena resultante le remplazan todas las vocales por números, a por 5, e por 3, etc... ( o por alguna 'cosa' pensando que la van a poder decodificar a sus caracteres originales)

Lo que pasa es que una cadena en MD5 la reconoce todo programador. Una cadena en hash se confunde con otros algoritmos pero igual solo es cuestión de minutos para que la decodifiquen.

Pero una combinación irregular de algoritmos añadiendo algo de fuerza bruta cambiando algún patrón...... ==== Esto se puede hacer si que se vea infantil o poco profesional???

Que opinan?

Gracias amigo. Mi trabajo no me deja abrir la ha considerado de categoría: Lingerie/Bikini

Qué significa: lencería/bikini???

lol

Es un artículo que trata el tema del que estáis hablando.

Prueba con la fuente original (Ingles)
http://net.tutsplus.com/tutorials/ph...asswords-safe/

Saludos,

Si la palabra es la misma, generará el mismo hash. La diferencia depende del salt (mira la página que recomienda charlyalegret)

La mejor opción es manejar doble proceso de encriptación el primero con salt y el segundo si ese

(El mayor inconveniente por el que toca recurrir a esos procesos es porque hay páginas que muestran largas listas de hash precalculados)

En la página de MySQL también habla sobre funciones para encriptar

Exacto, yo por ejemplo genero un salt aleatorio más una llave predefinida con el password entonces se genera así:

En la BDD se almacena el $saltAleatorio junto con el $passwordCodificado y es lo que uso para compararlo con la BDD.

entonces si el password es hola y la palabra aló tienen el mismo hash entonces el hacker puede entrar con ambos passwords debido a que da la misma respuesta

GatorV lo dijo mucho mejor que yo

Yo utilizo como mencionaron arriba un md5(username o email(depende de lo que le pida al usuario) . password)

La idea de GatorV es bastante buena, te lo voy a copiar :P

he estado muy liado casi no he podido tener un minuto libre. Gracias a todos.

Gracias Gator te mando un saludo.