Enviar contraseña por mail de forma segura

1333nvz · #1 (**permalink**) 17/08/2012, 03:56

¡Saludos comunidad!
Tengo una gran interrogante que sé, tiene múltiples soluciones, pero quiero elegir la correcta.
La cuestión es simple, tengo una cuenta de administrador(en mi sitio) que registra los demás usuarios , con todos los datos, nombre, email y contraseña. Actualmente el sitio envía los datos (incluída la contraseña) a través de la función mail() de PHP al correo del usuario registrado previamente por el administrador. Sin embargo, esta forma no es muy segura, y ahí entra mi pregunta: ¿qué puedo hacer para evitar esto o agregar seguridad al algoritmo?.

PREGUNTA RÁPIDA: ¿cómo manejan estas cuestiones los grandes sitios?.
Es decir, en muchos lugares me llegan, o bien directamente la contraseña o bien un enlace para establecerla.

Algunas soluciones que se me ocurrieron:
a) Enviar el mail de forma segura (encriptación por ej), el problema es que no sé nada de seguridad o encriptación.
b) Enviar mail para confirmar cuenta o permitir que el usuario establezca la contraseña, el problema es que esto sería igual de inseguro que lo planteado anteriormente.
c) Confirmar datos por medios no informáticos. Prácticamente descartada

En fin, ¿qué me recomiendan?¿alguna idea?
Desde ya, ¡muchas gracias!

Eleazan · #2 (**permalink**) 17/08/2012, 04:03

Permitiendo a los usuarios registrarse xDD

PepeF · #3 (**permalink**) 17/08/2012, 04:19

En el registro.php añade

Código PHP:

Ver originalmysql_query("INSERT INTO usuarios(Nombre,Email,Contrasena,EstadoKEY,CodigoKEY,Baneado,Ip) VALUES ('$_POST[nombre]', '$_POST[email]', '$Contraseña', '1', '$CodigoKEY', '0', '$_SERVER[REMOTE_ADDR]')");
    $registros = mysql_query("SELECT Email,CodigoKEY FROM usuarios WHERE Nombre = '$_POST[nombre]'");
    while($reg = mysql_fetch_array($registros)){
    mail("$_POST[email]","Activa tu cuenta.","Hola $_POST[nombre], Bienvenido tu te as registrado en http://localhost y para activar tu cuenta necesitas meterte en esta url. http://localhost/validacion.php?email=$reg[Email]&key=$reg[CodigoKEY]");
    }
    echo "<font color='green'>Registro Correcto</font>";

creas un archivo llamado validacion.php con esto

Código PHP:

Ver original<?php
include ("config/conectar.php");
?>
<?php
$verificacion = mysql_query("SELECT * FROM usuarios WHERE Email = '$_GET[email]' AND CodigoKey = '$_GET[key]'");
if ($veri = mysql_fetch_array($verificacion)){
    mysql_query("UPDATE usuarios SET EstadoKEY = '0' WHERE Email = '$_GET[email]'");
    echo "Tu cuenta ha sido activada Inicia Sesion.";
    echo "<meta http-equiv='refresh' content='2; url=index.php'>";
}
?>

y en el login añade:

Código PHP:

Ver original<?php
/* Sistema de baneo y de activar cuenta */
if($_COOKIE['login']){
$baneado = mysql_query("SELECT EstadoKEY,Baneado FROM usuarios WHERE Email = '$_COOKIE[login]'");
    while($bane = mysql_fetch_array($baneado)){
        if($bane['EstadoKEY'] == "1"){
        echo "Tu cuenta no esta activada !Activala¡";
        }
/* End Sistema de baneo y de activar cuenta */
 ?>

En tu base de dato crea una tabla llamado CodigoKey y otra Estado

Y el archivo que te he puesto funciona asin

Tu en un get pones el email y el codigokey y si es correcto Cambia el estado 1 por 0 y entonces si es 0 quiere decir que cuenta activada

1333nvz · #4 (**permalink**) 17/08/2012, 13:52

Muchas gracias a ambos por responder, pero creo que tomaré la opción de Eleazan, es lo más lógico, solo que después de horas de programación encima, se hace difícil hasta usar el sentido comun.

Cita:

Permitiendo a los usuarios registrarse xDD

Lo que voy a hacer es permitir a los usuarios registrarse, y el administrador confirmará o no los registros entrantes.

Sin embargo, en caso de que quiera recuperar la contraseña, ¿cómo podría hacer? Por qué tendría que enviar la contraseña nuevamente, y estaría otra vez en el problema del principio. Nota: en lo posible me gustaría evitar la pregunta secreta.

¡Saludos! y gracias nuevamente.

ocp001a · #5 (**permalink**) 17/08/2012, 14:01

Te sugiero esto:

Que los usuarios se registren solos, poniendo la contraseña que quiera, y sólo mandar la activación de la cuneta por email. Además puedes poner un captcha para evitar registros por robots.

El cambio de contraseña lo puedes hacer enviando una liga que los lleve a un script para cambiar la contraseña, y que dicha liga expire en cuanto cambien la contraseña o pase cierto tiempo.