PHP OO Encriptar contraseñas un problema para futuro

arcanisgk122 · #1 (**permalink**) 15/02/2014, 18:13

tengo un problema, tengo mis contraseñas encriptadas en sha-1 en formato semilla+contraseña, pero ya me doy cuenta que tenemos problemas ...

MD5 y SHA-1 estan comprometidos... SHA-2 aun aguanta un poco mas pero no se que tan seguro sea encriptar con SHA-256... sea este el caso...

al ver mi servidor aun anda en la 5.2 de apache y no cuento con Bscript ... mi pregunta es que me recomiendan... para encriptar... acepto toda clase de ideas que incluyan documentacion

Alexis88 · #2 (**permalink**) 15/02/2014, 20:51

No me he especializado en el tema, pero leyendo un poco, he encontrado este artículo elaborado hace un poco menos de un año, en el que explican acerca del algoritmo Keccak, el cual fue seleccionado por el Instituto Nacional de Estándares y Tecnología del Gobierno de los Estados Unidos de América como el estándar de encriptación SHA-3. Incluso se hacen comparaciones con SHA-1 y SHA-2 y se muestran las ventajas que tiene este nuevo estándar sobre ellos.

El artículo: http://www.drdobbs.com/security/kecc...dard/240154037

Saludos

arcanisgk122 · #3 (**permalink**) 15/02/2014, 21:30

ok pero no lo soporta el apache 5.2... creo que solo las ultima verciones... lo tengo en cuenta para futuro cuando este en servidores...

hash

hash support enabled
Hashing Engines md2 md4 md5 sha1 sha256 sha384 sha512 ripemd128 ripemd160 ripemd256 ripemd320 whirlpool tiger128,3 tiger160,3 tiger192,3 tiger128,4 tiger160,4 tiger192,4 snefru gost adler32 crc32 crc32b haval128,3 haval160,3 haval192,3 haval224,3 haval256,3 haval128,4 haval160,4 haval192,4 haval224,4 haval256,4 haval128,5 haval160,5 haval192,5 haval224,5 haval256,5

Alexis88 · #4 (**permalink**) 15/02/2014, 21:51

Solo por curiosidad, ¿has pensado en cambiarte a una versión más actual o usar otro web server?, digo, si ya está disponible ese estándar, entonces deben haber versiones de web server que la soporten. Algo parecido me pasó con la versión de PHP, ya que instalé el AppServ que viene con la versión 5.2 cuando hace pocos días se ha liberado la 5.6 alpha2, o sea, estoy quedándome atrás y no puedo aprovechar las nuevas funcionalidades, por eso opté por actualizar la versión y ahora le estoy sacando provecho a lo que me perdí desde 5.3 en adelante.

arcanisgk122 · #5 (**permalink**) 15/02/2014, 22:11

claro es fascil decirlo cuando hablas de appserv y algo local, pero simplemente pedia recomendaciones para algo gratuito.... y por lo que busco y veo no hay...

Alexis88 · #6 (**permalink**) 15/02/2014, 22:20

No es que sea fácil decirlo, creí que trabajabas con un servidor propio (no el local), pero bueno, probablemente en algún tiempo más esté al alcance de todos la implementación de este nuevo estándar.

Saludos

#7 (**permalink**) 16/02/2014, 07:12

Cita:

Iniciado por Alexis88

Solo por curiosidad, ¿has pensado en cambiarte a una versión más actual o usar otro web server?, digo, si ya está disponible ese estándar, entonces deben haber versiones de web server que la soporten. Algo parecido me pasó con la versión de PHP, ya que instalé el AppServ que viene con la versión 5.2 cuando hace pocos días se ha liberado la 5.6 alpha2, o sea, estoy quedándome atrás y no puedo aprovechar las nuevas funcionalidades, por eso opté por actualizar la versión y ahora le estoy sacando provecho a lo que me perdí desde 5.3 en adelante.

Muy bien amigo, veo que de algo sirvió lo que hablamos.
HAY QUE ACTUALIZARSE!!!

Alexis88 · #8 (**permalink**) 16/02/2014, 12:39

Jeje, en realidad esa actualización la hice antes, pero de hecho que se aprende mucho intercambiando información con personas como ustedes amigos.

arcanisgk122 · #9 (**permalink**) 16/02/2014, 21:23

bueno se salieron de mi pregunta totalmente, yo no estoy buscando consejos de actualizacion , por que no esta a mi alcance, pregunte por algo especifico...

Alexis88 · #10 (**permalink**) 16/02/2014, 23:29

Sobre tu inquietud:

Cita:

Iniciado por arcanisgk122

no se que tan seguro sea encriptar con SHA-256... sea este el caso...

Creo que la información de este artículo, te brindará lo que necesitas saber sobre ello.

Saludos

arcanisgk122 · #11 (**permalink**) 16/02/2014, 23:48

si alexis entiendo perfectamente lo que me tratan de decir, que si o si Bscript es el futuro para los hash de contraseñas, pero queria saber una alternativa viable para apache 5.2 de la siguiente lista:

Hashing Engines md2 md4 md5 sha1 sha256 sha384 sha512 ripemd128 ripemd160 ripemd256 ripemd320 whirlpool tiger128,3 tiger160,3 tiger192,3 tiger128,4 tiger160,4 tiger192,4 snefru gost adler32 crc32 crc32b haval128,3 haval160,3 haval192,3 haval224,3 haval256,3 haval128,4 haval160,4 haval192,4 haval224,4 haval256,4 haval128,5 haval160,5 haval192,5 haval224,5 haval256,5

Cual de todas me recomendarían gracias.

nup_ · #12 (**permalink**) 17/02/2014, 07:27

Hola:

Si solamente tienes esas posibilidades usa sha512 q te puede dar un poco más de seguridad.
Asegúrate de escoger un salt completamente aleatorio y al menos 128 bytes de longitud.

https://crackstation.net/hashing-security.htm
http://stackoverflow.com/questions/1...645190#1645190
http://security.stackexchange.com/qu...-hashes-really

slds;

nup_

arcanisgk122 · #13 (**permalink**) 17/02/2014, 11:33

ok les dejo el codigo como muestra de lo que tengo

BD:
pasword permite 300 caracteres

Código PHP:

Ver original$encript = sha1($password);// primero encripto en sha-1
$hash = hash('sha512', $salt.$encript.$salt);// luego agrego el salt al frente y atras de la contraseña.

lo de hacer el salt aleatorio no lo he visto, tendría que agregar un campo a la base de datos
salt permite 300 caracteres

como controlo la longitud y de que tamaño debería de ir a la base de datos el campo??

nup_ · #14 (**permalink**) 17/02/2014, 22:17

Hola:

No tienes porq aplicar sha1 al password, simplemente concaténalo con el salt y eso es suficiente.
Después haces varias iteraciones de "hasheo" (en el ejemplo hay 1000 pero puedes llegar a 20000).
En la BD guardas el hash y el salt, la cantidad de iteraciones la puedes poner constante para toda la aplicación.
El proceso sería asi:

Código PHP:

Ver originalfunction get_hash( $password, $salt, $iterations )
{
    $hash = hash('sha512', $password . $salt);
    for ( $i = 0 ; $i < $iterations ; $i++ )
        $hash = hash('sha512', $hash . $i);
    return $hash;
}
 
// Para salvar los datos de un usuario en la BD
//   guardas el hash y el salt
$salt = get_random_salt(); // Funcion tuya, ver despues
$hash = get_hash( $password, $salt, 1000 );
// INSERT INTO usertable( username, hash, salt ) VALUES ....
 
// Para autenticar un usuario
$salt_db = // el salt guardado en la BD para ese user
$password_db = // el salt guardado en la BD
if ( get_hash($password_db, $salt_db, 1000) == get_hash($password, $salt, 1000) )
    // Autenticado
else
    // Denegado

Para generar el salt aleatorio tienes varias variantes:
- usar la librería mcrypt
- extraer datos aleatorios de /dev/urandom
- generar una cadena aleatoria usando mt_rand()

Recomiendo cualquiera de las 2 primeras:

Código PHP:

Ver original// Usando la librería mcrypt
function get_random_salt()
{
    $size = 300;
    return mcrypt_create_iv($size, MCRYPT_DEV_URANDOM);
}
 
// Usando /dev/urandom
function get_random_salt()
{
    $size = 300;
    $fh = fopen('/dev/urandom','rb');
    $salt = fread($fh,$size);
    fclose($fh);
    return $salt;
}

slds;

nup_