Foros del Web » Administración de Sistemas » Seguridad y redes »

seguridad para recoger clave por internet

Estas en el tema de seguridad para recoger clave por internet en el foro de Seguridad y redes en Foros del Web. hola amigos del foro. no sabia si esta pregunta es para asp o seguridad, pero ya esta aqui... tengo una pagina web y en una ...
  #1 (permalink)  
Antiguo 06/12/2002, 13:33
Avatar de sepulman  
Fecha de Ingreso: agosto-2002
Mensajes: 274
Antigüedad: 22 años, 3 meses
Puntos: 0
Pregunta seguridad para recoger clave por internet

hola amigos del foro. no sabia si esta pregunta es para asp o seguridad, pero ya esta aqui...

tengo una pagina web y en una seccion tiene que validarse una contraseña que se va ser ingresada por el usuario (usuario y contraseña estan en una base de datos). esta contraseña es MUY IMPORTANTE, ya que una vez validado el usuario puede modificar muchas cosas, por lo que me es muy importante la seguridad.
¿¿como lo podria hacer para ofrecer absoluta seguridad a los usuarios que van a ingresar a esta pagina???
bastara con tenerla en una base de datos(access) , antivirus, firewall...
se que hay programas que devuelven contraseñas de correo y no se que otras cosas, por eso la preocupacion
Espero comentarios y si alguien trabaja con contraseñas en internet me podria comentar como implemento su pagina...
__________________
Saludos
Miguel Angel
<[email protected]>
  #2 (permalink)  
Antiguo 11/12/2002, 08:48
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 10 meses
Puntos: 129
Tienes que usar SSL y/o mejor aun certificados digitales de firma ..

El SSL es "Secure Sockets Layer - Capa de conexión segura" (lo habras visto .. son esas paginas q entras por https :// ) Con eso te aseguras que tus datos viajan entre tu servidor y el cliente (el navegador del usuario) encriptados .. evitando así "snifer" y demas técnicas para usmear tu conexión entre ese Navegador (cliente) y tu servidor ...

Entra a la página de www.sii.cl y prueba los login de entrada .. ahí veras q tienen el método SSL y SSL + certificado digital ...

El SSL te lo ha de proporcionar tu servidor .. normalmente los Srs. de tu servicio de Hostig (o si es tu PC el servidor deberas instalarlo ..) te crean un subdominio tipo https://seguro.tuservidor.tal .. o simplemente al conectar por https:// te conecta a cierto directorio (servidor virtual) de tu propio sitio y será donde tendras q ejecutar tus formularios y scripts de autentificación ...

Un saludo,
  #3 (permalink)  
Antiguo 11/12/2002, 10:38
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
A parte de lo que te comenta el sabio Cluster, quería comentarte que además de esto y si usas por ejemplo PHP, trabajando con contraseñas, existen varias funciones para encriptarlas. como por ejemplo la función crypt() o mcrypt(). Esta última, más avanzada, necesitan tener librerías específicas instaladas en el servidor. En ASP supongo que tendrá también sus propias funcioners.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #4 (permalink)  
Antiguo 11/12/2002, 19:48
 
Fecha de Ingreso: septiembre-2001
Mensajes: 552
Antigüedad: 23 años, 2 meses
Puntos: 0
Hola

La respuesta a tu pregunta ya ha sido resulta por Cluster y Alfon, solo me gustaría agregar un comentario, citando parte de tu mensaje original:

Cita:
bastara con tenerla en una base de datos(access) , antivirus, firewall...
se que hay programas que devuelven contraseñas de correo y no se que otras cosas, por eso la preocupacion
Obviamente, las contraseñas en la base de datos deberán estar cifradas. Ahora, comentas de la existencia de un tipo de programas que devuelven las contraseñas... en el mundo real y en un buen sistema de autentificación, tu contraseña no la debe de saber NI el administrador, podrá cambiarla pero no conocerla, por ejemplo, en algunos sistemas se crea un HASH de tu password y eso es lo que se almacena en la base de datos, cuando vuelves a entrar, al teclear tu pass, se vuelve a realizar el HASH y el resultado se compara con el HASH previamente almacenado. A lo que iba, los programas que supuestamente devuelven la contraseña se basan en algo que todavía no conozco como asegurarlo: el sentido común de los usuarios, dichos programas atacan por Ingeniería Social (en pocas palabras: hacer creer que eres alguién que no eres) directamente a tus usuarios.

Alfon, olvidas mencionar a la famosa función MD5 implementada también en PHP.

Saludos,
  #5 (permalink)  
Antiguo 12/12/2002, 02:32
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
No se me olvidó amigo raac, mis conocimientos de PHP son cortitos y no sabia de esa función. Gracias par la aclaración.

Por cierto, también se me pasó por alto el tema de la base de datos en access... ni se te ocurra. A parte, no se si esta subsanado, acces permite muy pocas concurrencias.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #6 (permalink)  
Antiguo 13/12/2002, 07:51
Avatar de sepulman  
Fecha de Ingreso: agosto-2002
Mensajes: 274
Antigüedad: 22 años, 3 meses
Puntos: 0
guauu, si claro me acorde del hashing. intentare implementarlo y en que BD, no se, pero diganme algo, cuales serian las desventajas mas evidentes si la hago en access???

ya que en primera instancia tenia pensado hacerla ahi, ojo que tampoco estamos hablando de un sistema de banco o manejo de dinero, solo recoger usuario, clave para mostrar un informe de ventas y ellos me mostraran sus sugerencias, eso si que es importante, por que las sugerencias se tomaran muy en cuenta(casi como una orden) y obviamente debe ser de la persona validada en la base de datos.
gracias a TODOS por responder, pero me queda esa duda de las mayores desventajas de access 2000.
saludos a to2.
__________________
Saludos
Miguel Angel
<[email protected]>
  #7 (permalink)  
Antiguo 13/12/2002, 17:14
 
Fecha de Ingreso: abril-2001
Mensajes: 11
Antigüedad: 23 años, 7 meses
Puntos: 0
AGREGO UN GRANITO DE ARENA A ESTA INTERESANTE PROPUESTA

DEBERIAS AGREGAR UNA OPCION PARA QUE EL USUARIO CAMBIE SU CONTRASEÑA FRECUENTEMENTE. Y A SU VEZ ADVERTIRLE EN DETERMINADOS TIEMPOS QUE DEBE CAMBIAR SU CONTRASEÑA POR SEGURIDAD.

CON ESTO TE EVITAS QUE LOS "SCRIPTS ADIVINOS".
(GENERADORES DE PASSWORDS ) VAYAN QUEMANDO COMBINACIONES.

MIENTRAS MAS FRECUENTE SEA EL CAMBIO DE CONTRASEÑA MEJOR ASI HAY MENOS PROBABILIDAD DE QUE LA SAQUEN.

;)
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 09:30.