[SOLUCIONADO] ¿Mejor metodo para encriptar contraseñas en PHP?

Spiderwpc · #1 (**permalink**) 05/04/2013, 21:51

Hola amigos.

Hoy vengo con esta duda, he visto mucha información en Internet y por lo que vi en foros y otras webs la mejor forma para encriptar contraseñas es usar MD5 ya que no puede ser desencriptadas sus cadenas, pero por fuerza bruta y utilizando algunas bases de datos de algunos Hackes puede llegar a ser muy vulnerable este método.

Tambien ví, que se pueden combinar dos metedos de encriptacion como Sha-1 y MD5 para un hacer un sistema de seguridad más robusto, es decir sería algo como:

Código:

$Cifrado = sha1(md5($pass))

Y además podria agregarle una cadena personalizada para hacerlo más seguro. Pero la desventaja de esto seria la velocidad de cifrado (Que es algo minimo, pero sería algo importante).

Pero bueno, todo esto que les digo es para saber cual sería en metodo de cifrado más seguro y rapido.

-Saludos y espero que me ayuden.

pateketrueke · #2 (**permalink**) 05/04/2013, 21:53

Consulta el PHP Security Consortium: http://phpsec.org/

Un comentario adicional: si deseas verdadera seguridad el tiempo que toma preservarla es insignificante, no te confundas.

alex_dh · #3 (**permalink**) 06/04/2013, 01:04

a ver, si leemos el manual de PHP sobre md5() dice:

"Dada la velocidad de este algoritmo de hash, se recomienda no utilizar esta función para proteger las contraeñas."

probemos con sha1()

el manual de php dice "Dada la velocidad de este algoritmo de hash, se recomienda no utilizar esta función para proteger las contraeñas."

YO USO Y RECOMIENDO CRYPT()

#4 (**permalink**) 06/04/2013, 12:35

Cita:

Iniciado por Spiderwpc

Hola amigos.

Hoy vengo con esta duda, he visto mucha información en Internet y por lo que vi en foros y otras webs la mejor forma para encriptar contraseñas es usar MD5

No se donde lo viste , lo primero que debes hacer es hechar un vistazo al manual, hay encontraras siempre tus respuestas.

PHP DESACONSEJA USAR MD5 Y SHA1

Lo correcto es usar crypt como te han dicho y ademas usar el algoritmo blowfish

te dejo un enlace http://es.php.net/manual/es/faq.passwords.php

hackjose · #5 (**permalink**) 06/04/2013, 16:42

En lo personal usaría sha1 o md5 pero no crypt por que esta función devuelve resultados diferentes segun la plataforma.

Osea si un dia decidieras migrar tu web a otro server tendrias la posibilidad que tu web no jalara(solo las contraseñas)

Salu2

oscard41 · #6 (**permalink**) 06/04/2013, 16:53

creo que por ahi lei que es mejor no usar md5 ni sha1 por que ya hay programas que decifran igual el pass pero se podria hacer algo asi:

Código PHP:

Ver original<?php
 
        $b=12365;
        $patron='asdfwfe12365479eÑDFK';
        $b=$patron.sha1(md5($b));
        echo $b;
 
?>

#7 (**permalink**) 07/04/2013, 10:45

Ademas de crypt tenemos algunas funciones nuevas en php 5.5 estos son las que deberiamos de utilizar

un ejemplo practico

registro

Código PHP:

Ver original<?php
 
$options = [
    'cost' => 7,
    'salt' => 'BCryptRequires22Chrcts',
];
 
$hash = password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);
 
?>

validacion

Código PHP:

Ver original<?php
 
if (password_verify($_POST['password'], $hash)) {
    echo '¡La contraseña es válida!';
} else {
    echo 'La contraseña no es válida.';
}
 
?>

se utiliza el algoritmo blowfish y ademas password_hash() automaticamente si no se le especifica un salt lo creara aleatorio al igual que el coste algoritmico

dejo aqui info

http://es.php.net/manual/es/book.password.php

md5 se deberia de usar en mi opinion para hashes de ficheros para verificar .

andresdzphp · #8 (**permalink**) 07/04/2013, 10:49

Deberíamos, pero lastimosamente los hosting no van a correr a poner php 5.5.0, toca acomodarnos a lo que hay. Además sigue beta.

#9 (**permalink**) 07/04/2013, 10:51

digo en un futuro.... yo uso 5.4 , como tu dices toca acomodarnos y de momento para mi la mejor opcion es crypt como dije y blowfish.

#10 (**permalink**) 08/04/2013, 13:09

Cita:

Iniciado por hackjose

En lo personal usaría sha1 o md5 pero no crypt por que esta función devuelve resultados diferentes segun la plataforma.

Osea si un dia decidieras migrar tu web a otro server tendrias la posibilidad que tu web no jalara(solo las contraseñas)

Salu2

La verdad yo no sabia nada sobre esto , pero me puse a indagar y encontre varias respuestas

- crypt s es portable desde sus inicios usando algoritmos como CRYPT_STD_DES y CRYPT_MD5

- desde la version 5.3 permite el uso de los diferentes algoritmos sin importar lo que ofrezca o deje de ofrecer el sistema , 100%!00 portable

extraido de php

Nota:

A partir de PHP 5.3.0, PHP contiene su propia implementación y la utilizará si el sistema carece de soporte para uno o varios de los algoritmos.

si efectivamente antes de 5.3 usamos en un sistema un algoritmo digamos blowfish y migramos a otro sistema y en ese no se encuentra el algoritmo (digamoslo asi para que se entienda bien) logicamente como dices " devuelve resultados diferentes segun la plataforma "

espero haber aclarado un poco esta cuestion.

saludos ::;. . . ..

Spiderwpc · #11 (**permalink**) 20/06/2013, 23:13

Muchas Gracias a Todos!

Me sirvieron sus comentarios!