Phpass

zeuslife · #1 (**permalink**) 07/01/2010, 17:59

Hola a todos!!
Me gustaria, si es posible, que alguien me explicara el funcionamiento de phpass, y como integrarlo en un sistema para codificar claves (y luego, codificando lo mismo otra vez, poder compararlo y dar acceso).

Saludos y Gracias!

jackson666 · #2 (**permalink**) 07/01/2010, 18:49

Hola zeuslife que tal.
Para codificar te convendria usar md5() en tu sistema y luego cuando el usuario ingresa una clave y tu la recoges en tu script php la codificas tambien y comparas ambas. Se entiende?
Con esto ya basta en cuestiones de seguridad.

Otra cosa totalmente al margen: tienes esta frase en tu firma que intuyo no es lo que quieres:

Oko por ojo, y el mundo acabará ciego - Mahadma Ghandi

Suerte

zeuslife · #3 (**permalink**) 08/01/2010, 04:18

Cierto lo de la firma, ahora lo cambio muchas gracias. =D
Ya, si yo uso md5. Pero, me gustaria aprender el uso de phpass, y saber como hace para generar la codificación, y como puedo implementarla en un sistema. Ya que, aunque digan que md5 es unidireccional... que quieren que les diga, yo me he encontrado con páginas y sistemas, en las que insertas una clave con mayusculas, minusculas, símbolos y números y la descodificaban en segundos, por lo tanto muy seguro no es, aunque sea el más usado. Por lo tanto, si me pudiesen proporcionar info sobre phpass, les estaria muy agradecido.

Un Saludo!!

SuperYuX · #4 (**permalink**) 08/01/2010, 07:10

Un ejemplo simple, al que hay que añadir otras comprobaciones y métodos de seguridad, aparte del MD5.

Código PHP:

      $usuario = $_POST["usuario"];

    $password = $_POST["password"];

    $query = mysql_query('SELECT Password, Usuario FROM usuarios WHERE Usuario=\''.$usuario.'\'');

    if($row = mysql_fetch_array($result)) {

        if($row["Password"] == md5($password)){

            // Login Realizado

            echo "Bienvenido!";

        }

        else

        {

            // Password incorrecta

            echo "Clave incorrecta, vuelva a la pagina anterior e intente nuevamente";

        }

    }

    else    {

        echo 'Usuario no registrado.';

    }

No se si eso es lo que pedias,

Saludos.

zeuslife · #5 (**permalink**) 08/01/2010, 13:30

Gracias SupeYuX por tu interes, pero no, no es lo que pedia. Busco información sobre como implementar y usar Phpass.

Muchas gracias! =D

SergeMedina · #6 (**permalink**) 08/01/2010, 14:05

Nunca he usado phpass, pero viendo el script que incluye llamado test.php puedes descifrar su funcionamiento. Lo que comentas sobre webs que "descifran" hashes md5, realmente no lo descifran, tienen una lista de hashes con sus respectivos significados, es por eso que "lo descifran en segundos". La unica forma de descifrar un hash unidireccional (Que yo conozco) es mediante fuerza bruta (brute force).

Para cuestión de tu aplicación te recomiendo utilizar la función sha1 de php, o la libreria mcrypt, ya que phpass parece que hace tiempo no lo actualizan.

Saludos.

zeuslife · #7 (**permalink**) 08/01/2010, 16:14

Hola SergeMedina, gracias por contestar. Ya intenté averiguar su funcionamiento, y todavia no lo he logrado, ya que cada vez que me encripta algo, lo hace de forma distinta :S . Y, si, lo de las páginas que desencriptan md5, es cierto que algunas usan eso, pero no todas. Yo me inventé una clave totalmente aleatoria, solo para probar, con todo lo que pude meterle, y puedo jurar que me la descifró. Desde entonces ando buscando algún tipo de codificación nueva, o más segura, ya que md5 me defraudó. De ahí que me pusiera a ver que usaban scripts como phpbb3, o wordpress, y encontrar esa función.

Muchas gracias!

SergeMedina · #8 (**permalink**) 08/01/2010, 19:44

De casualidad tienes el link de la pagina para darle una mirada?
En cuanto a que te genera hashes distintos, si es cierto, no lei muy a fondo su funcionamiento.

Yo tengo una implementación de una clase en php que utiliza mcrypt para encriptar y desencriptar texto, en este caso lo uso para enviar datos en la url para activar un usuario:

Código PHP:

Ver originalpublic function encode($word){
        $word = trim($word);
        $iv = substr(md5($this->key),0,mcrypt_get_iv_size(MCRYPT_CAST_256,MCRYPT_MODE_CFB));
        $word = mcrypt_cfb (MCRYPT_CAST_256, $this->key, $word, MCRYPT_ENCRYPT, $iv);
        $word = base64_encode($word);
        return rawurlencode($word);
    }
 
    public function decode($word){
        $word = rawurldecode($word);
        $word = base64_decode($word);
        $iv = substr(md5($this->key), 0,mcrypt_get_iv_size (MCRYPT_CAST_256,MCRYPT_MODE_CFB));
        $word = mcrypt_cfb (MCRYPT_CAST_256, $this->key, $word, MCRYPT_DECRYPT, $iv);
        return trim($word);
    }

zeuslife · #9 (**permalink**) 09/01/2010, 08:00

Mmmm.... muchas gracias por el código SergeMedina, voy a darle un vistazo a ver que tal :D La página del proyecto phpass? Es PHPass.

Saludos y muchas gracias!