Foros del Web » Programando para Internet » PHP »

¿ Encriptais siempre las contraseñas en vuestras webs ?

Estas en el tema de ¿ Encriptais siempre las contraseñas en vuestras webs ? en el foro de PHP en Foros del Web. Hola, Estoy diseñando una aplicación web en la cual existirán contraseñas para los usuarios registrados. El administrador necesitaría saber el valor de las contraseñas de ...
  #1 (permalink)  
Antiguo 05/11/2010, 10:17
 
Fecha de Ingreso: octubre-2003
Ubicación: España
Mensajes: 1.067
Antigüedad: 21 años, 2 meses
Puntos: 18
¿ Encriptais siempre las contraseñas en vuestras webs ?

Hola,

Estoy diseñando una aplicación web en la cual existirán contraseñas para los usuarios registrados.
El administrador necesitaría saber el valor de las contraseñas de los usuarios y si las encripto no podrá saber cuales son. Estoy pensando en realizar dicho sistema sin encriptarlas. Se trataría de que el usuario inserte el nombre de usuario y pass para acceder a su panel, nada mas...

¿Es fiable no?, es decir, ¿no creo que nadie pueda acceder a la BD MySQL y ver las contraseñas no ??

Un saludo!!
  #2 (permalink)  
Antiguo 05/11/2010, 10:57
Avatar de malakian  
Fecha de Ingreso: septiembre-2010
Ubicación: $malakian->Colombia();
Mensajes: 469
Antigüedad: 14 años, 3 meses
Puntos: 45
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

hola!

yo siempre las encripto, todo por seguridad!!
existe gente que usa "sniffers" algo asi, que puede detectar los datos que se envian mediante la red, si no la encriptas,lapersona que sabe manejar eso las detecta y tu aplicacion seria vulnerable, ademas es bueno que ni el administrador de la aplicacion conozca las claves, a esas cosas se les llama puerta trasera...

bueno en conclusion y en mi humilde opinion no lo recomiendo..
__________________
Guitar Loco, Desarrollador Web PHP
Sigueme: @jose1x
  #3 (permalink)  
Antiguo 05/11/2010, 12:12
 
Fecha de Ingreso: junio-2008
Mensajes: 98
Antigüedad: 16 años, 6 meses
Puntos: 2
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

yo las encripto y en el caso de hacer un panel de control para manejarme yo solo le pongo una url dificil y le pongo para q solo me habra el panel en mi ip.
  #4 (permalink)  
Antiguo 06/11/2010, 03:00
 
Fecha de Ingreso: octubre-2003
Ubicación: España
Mensajes: 1.067
Antigüedad: 21 años, 2 meses
Puntos: 18
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

Gracias por vuestras opiniones, tomo nota..

¿ Se podria generar una encriptación/desencriptación, es que el problema que tengo es que al cliente le gustaría poder saber las contraseñas.. ?

Saludos!!
  #5 (permalink)  
Antiguo 06/11/2010, 03:17
Avatar de gogupe  
Fecha de Ingreso: octubre-2006
Ubicación: Mallorca
Mensajes: 897
Antigüedad: 18 años, 1 mes
Puntos: 32
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

Cita:
Iniciado por davidj Ver Mensaje
Gracias por vuestras opiniones, tomo nota..

¿ Se podria generar una encriptación/desencriptación, es que el problema que tengo es que al cliente le gustaría poder saber las contraseñas.. ?

Saludos!!
Hola, yo tambien pensaba como tu, que se tenía que desencriptar, pero no es necesario, lo que hago yo es encriptarla con md5 y el añado una cadena clave usando la funciona de concatenar... y siempre que introduce la contraseña va encriptada, si es igual a la bd, entra... lo unico que tienes que tener en cuenta es que si el cliente quiere recuperar la contraseña, no podrás, en este caso, le genera una nueva automáticamente con la opcion de que después la podrá modificar.

Saludos.
  #6 (permalink)  
Antiguo 06/11/2010, 04:29
 
Fecha de Ingreso: julio-2009
Ubicación: Alicante
Mensajes: 6
Antigüedad: 15 años, 4 meses
Puntos: 1
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

Un ejemplo de encriptación desencriptación:
http://www.phpbuilder.com/board/showthread.php?t=10326721

Para evitar sniffers, necesitarás usar HTTPS.
  #7 (permalink)  
Antiguo 06/11/2010, 09:45
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

Cita:
Iniciado por davidj Ver Mensaje
el problema que tengo es que al cliente le gustaría poder saber las contraseñas
y esta mal, ya que atenta contra la privacidad de los usuarios...
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #8 (permalink)  
Antiguo 06/11/2010, 17:46
 
Fecha de Ingreso: octubre-2003
Ubicación: España
Mensajes: 1.067
Antigüedad: 21 años, 2 meses
Puntos: 18
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

Lo que veo que aunque se utilize md5 o sha1, el usuario debe teclear el password y enviarlo al servidor, una vez allí se encripta mediante php, por tanto, un sniffer podria interceptar el password que se envia desde el formulario al php...

¿Realizais la encriptación en el servidor (php) o utilizais algún otro sistema para evitar que se intercepte el password?

Un saludo!!!
  #9 (permalink)  
Antiguo 06/11/2010, 19:30
Avatar de xalupeao  
Fecha de Ingreso: mayo-2008
Ubicación: Santiago, Chile
Mensajes: 749
Antigüedad: 16 años, 7 meses
Puntos: 12
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

Cita:
Iniciado por ShAq83 Ver Mensaje
Un ejemplo de encriptación desencriptación:
http://www.phpbuilder.com/board/show...php?t=10326721

Para evitar sniffers, necesitarás usar HTTPS.
Claro si encriptas o no da igual en el caso de un sniffer, ya que el sniffer ve lo que sale de la red (una clave sin encriptar).

Puedes usar base64 para encriptar y desencriptar. (pero para que encriptar y despues desencriptar :S)


para hacer un login seguro necesitas de un certificado SSL.

lo mejor el salto y md5. (pero no es desencriptable).
__________________
Hosting en Chile en Silverhost - La solución en Hosting en Chile.
  #10 (permalink)  
Antiguo 07/11/2010, 08:31
 
Fecha de Ingreso: octubre-2003
Ubicación: España
Mensajes: 1.067
Antigüedad: 21 años, 2 meses
Puntos: 18
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

entiendo...

Y si se realiza el encriptado en javascript en el cliente??, de esta manera aunque el sniffer intercepte la contraseña no pasaria nada ya que iria encriptada , no??

Que opinais ??
  #11 (permalink)  
Antiguo 07/11/2010, 12:18
Avatar de Vun
Vun
Colaborador
 
Fecha de Ingreso: agosto-2009
Ubicación: Benalmádena, España
Mensajes: 2.265
Antigüedad: 15 años, 4 meses
Puntos: 150
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

Bueno, estuve buscando algo sobre esto de los sniffer aunque hay cosas que no me quedan muy claras de lo que un webmaster puede hacer para prevenirlo. Creo que es más la labor del tu ISP que se encargue de entregar a cada usuario los paquetes correspondientes ¿no?

¿podrias explicar mejor tu un ejemplo de ese tipo de 'hackeo' david?

Sobre lo de encriptar con javascript... recuerda que todo lo que sea de lado del cliente va a poder mirarlo viendo el codigo fuente de la pagina...
  #12 (permalink)  
Antiguo 07/11/2010, 12:55
 
Fecha de Ingreso: octubre-2010
Ubicación: por hay
Mensajes: 5
Antigüedad: 14 años, 2 meses
Puntos: 0
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

Aquí te puedes bajar scripts para encriptar en md5 desde el cliente: [URL="http://pajhome.org.uk/crypt/md5/index.html"]script js[/URL], lo malo que igual no todo el mundo tiene activado el javascript por lo que veo más practico el ssl.
  #13 (permalink)  
Antiguo 08/11/2010, 02:31
 
Fecha de Ingreso: octubre-2003
Ubicación: España
Mensajes: 1.067
Antigüedad: 21 años, 2 meses
Puntos: 18
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

zarpen pero aunque se vea el código javasript no pasa nada no?, solo vería que el pass serà encriptado pero no sabrà cual es el pas...

Vun, al utilizar el término sniffer me refiero a interceptar los datos que se envian cuando el usuario teclea el password y lo envia al servidor para ser encriptado. Me preocupa bastante poder evitar esto ya que por mucha encriptación que exista, si se puede interceptar lo que envia el usuario antes de ser encriptado pues como que no me gusta nada...

Saludos!!
  #14 (permalink)  
Antiguo 08/11/2010, 08:44
 
Fecha de Ingreso: febrero-2009
Mensajes: 218
Antigüedad: 15 años, 9 meses
Puntos: 9
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

No se si es exactamente los que estas buscando, pero una buena medida de seguridad para el robo de sesiones es comparar o chequear los headers.
Código PHP:
Ver original
  1. $chequeo = md5($_SERVER['HTTP_ACCEPT_ENCODING'] .$_SERVER['HTTP_ACCEPT_LANGUAGE'] .$_SERVER['HTTP_USER_AGENT']);
  2.  
  3. if(empty($_SESSION['chequeo'] ){
  4. $_SESSION['chequeo'] = $chequeo;
  5. }
  6. elseif($_SESSION['chequeo']! = $chequeo){
  7. session_destroy()  //chequeo invalidado, destruyo todas las sessiones.
  8. }
  #15 (permalink)  
Antiguo 08/11/2010, 13:49
Avatar de malakian  
Fecha de Ingreso: septiembre-2010
Ubicación: $malakian->Colombia();
Mensajes: 469
Antigüedad: 14 años, 3 meses
Puntos: 45
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

hola!!

por lo menos yo trabajo con mysql, este tiene funciones internas que uso para encriptar la clave con SHA1...

yo loque hago es encriptarlas con SHA1 con javascript en mi modulo de logueo, antes de que la contraseña sea enviada al servidor se encripta, luego llega encriptada a la BD alla realizo una comparacion y listo...

es decir, en el momento del envio un sniffer puede detectarla, talvez, pero estara encriptada, tengo entendido que SHA1 no se puede desencriptar, el algoritmo esta diseñado para que eso no pase... si se pudiera demoraria muchisimo tiempo...

vemos!!
__________________
Guitar Loco, Desarrollador Web PHP
Sigueme: @jose1x
  #16 (permalink)  
Antiguo 09/11/2010, 02:26
 
Fecha de Ingreso: octubre-2003
Ubicación: España
Mensajes: 1.067
Antigüedad: 21 años, 2 meses
Puntos: 18
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

fernandozunni ok, tomo nota aunque lo que me comentas solo es para las sesiones..

malakian, hace tiempo que utilizas esta técnica??, podrias mostrar el código de javascript que utilizas para encriptar con sha1??

Gracias!!

  #17 (permalink)  
Antiguo 09/11/2010, 10:04
Avatar de malakian  
Fecha de Ingreso: septiembre-2010
Ubicación: $malakian->Colombia();
Mensajes: 469
Antigüedad: 14 años, 3 meses
Puntos: 45
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

hola en realidad uso unas librerias de SHA1 para Javascript pero son muy grandes como para mostrarlas, te explico un poco, lo que mas o menos sucede es el usuario escribe su contraseña y antes de ser enviada se encripta, no se si te habras fijado en algunas webs, en la que tu escribes tu clave presiona enviar o lo que sea y se alcanza ver que lo que escribiste se agranda un poco antes de ser enviada, en conexiones lentas se ve mucho mejor...

por lo menos lo he usado en una web para una intranet de prestamos de mucho dinero y hasta el momento todo sale perfecto, imaginate una web de estas sin este tipo de seguridad, no digo que no sea vulnerable, talvez pero en casos de mil millones a uno,para mi esmuy seguro me ha funcionado al pelo...en cuanto altiempo no sabria decirte con exactitud...

saludos!!
__________________
Guitar Loco, Desarrollador Web PHP
Sigueme: @jose1x
  #18 (permalink)  
Antiguo 09/11/2010, 10:35
 
Fecha de Ingreso: octubre-2003
Ubicación: España
Mensajes: 1.067
Antigüedad: 21 años, 2 meses
Puntos: 18
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

entiendo... gracias de todos modos...

estaba pensando.. que posibilidades reales existe de que un hacker intercepte la contrseña que se envía al servidor??, no debe ser tan fácil no??

Salut!!
  #19 (permalink)  
Antiguo 09/11/2010, 11:08
Avatar de malakian  
Fecha de Ingreso: septiembre-2010
Ubicación: $malakian->Colombia();
Mensajes: 469
Antigüedad: 14 años, 3 meses
Puntos: 45
Respuesta: ¿ Encriptais siempre las contraseñas en vuestras webs ?

pss eso lo pueden hacer con un programa,algo de sniffers!! lo hace gente muy experta!!
igual llegan a obtener la clave estar encriptada y sera muy dificil revertir el proceso...

__________________
Guitar Loco, Desarrollador Web PHP
Sigueme: @jose1x

Etiquetas: contraseñas, siempre
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:16.