Hola a todos nuevamente.
Me encuentro cambiándome de tipo de cifrado del MD5 al SHA2 o el Blowfish
Me encontré un ejemplo aquí [URL="http://carluys.blogspot.mx/2012/12/encriptar-contrasenas-y-hacerlas-mas.html"]http://carluys.blogspot.mx/2012/12/encriptar-contrasenas-y-hacerlas-mas.html[/URL]
Según entiendo el ejemplo, se usa crypt() y una serie de parámetros para que utilice el Blowfish.
Ademas, según el ejemplo para comparar y saber que la contraseña sea la misma, crypt no compara que el resultado final sea el mismo, sino que el metodo sea el mismo o eso es lo que entendí.
Como sea, funciona pero mi duda es ¿qué tan seguro se ve el ejemplo?
Leí en otra parte que para hacerlo mas seguro puede aumentarse el numero de veces que en el ejemplo viene como $digito.
Lo que no me convence es que lo que se guarda en la base de datos que es el hash cifrado, tiene al inicio siempre escrito $2a$07$ lo que me parece que le facilitaría al atacante descifrar pues si lo ve sabrá que posiblemente se usó blowfish y quizás como resultado sabría como tener la contraseña real (imaginando que lo logra).
Tengo entendido que el blowfish nunca lo han logrado descifrar aun pero no se, llámenme paranoico pero en la web de todo hay jajajaja
¿qué opinan al respecto?
¡Saludos!