Cifrado de contraseñas

aris_cielo · #1 (**permalink**) 28/07/2015, 12:30

Hola buenas tardes a todos me gustaría saber que tipo de cifrado utiliza active directory al exportar los usuarios a sql server, la verdad es que no se mucho del tema espero alguien pueda auxiliarme.
Gracias buen día.

GusGarsaky · #2 (**permalink**) 28/07/2015, 13:02

Según he visto en un post, SQL Server desde la edición 2012 utiliza SHA_512 con un salt de 32 bits.

aris_cielo · #3 (**permalink**) 28/07/2015, 15:54

gracias por el dato, aunque ya intente validar con sha-512 y no, me dice que la contraseña esta mal escrita :(.

Si tuviesen otra opción o como saber que método de encriptación utiliza por favor.. Gracias.

GusGarsaky · #4 (**permalink**) 28/07/2015, 16:23

Es raro, no debería haber problemas. ¿Puedes poner el código donde validas la password?

aris_cielo · #5 (**permalink**) 29/07/2015, 09:46

<%@page import="java.sql.ResultSet"%>
<%@page import="Clases.Conexion2"%>
<%@page contentType="text/html" pageEncoding="UTF-8"%>

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Bienvenido</title>
</head>
<body>
<%
Conexion2 DB = new Conexion2();

String usuario = request.getParameter("usuario");
String password = request.getParameter("password");

String user = "";

ResultSet resul = DB.Consulta("select * from UserTelecom where userPrincipalName='"+usuario+"'");

if(resul.next()){

ResultSet resultado = DB.Consulta("select userPrincipalName from UserTelecom where userPrincipalName='"+usuario+"' and pwdLastSet ='"+password+"'");

while(resultado.next()){
usuario = resultado.getString("usuario");
}

if(user != ""){
session.setAttribute("userPrincipalName", user);
session.setAttribute("logged",true);
response.sendRedirect("bienvenido.jsp");
}else{

session.setAttribute("userPrincipalName","");
session.setAttribute("logged",false);

%>

<script>
alert("Contraseña incorrecta, inténtelo de nuevo.");
location.href="index.jsp";
</script>
<%
}
}else{
%>
<script>
alert("El usuario \" <%=usuario%> \" no existe en el dominio");
location.href="index.jsp";
</script>
<%}

DB.Close();
%>

</body>
</html>

Este es mi código donde valido la contraseña de logeo

GusGarsaky · #6 (**permalink**) 29/07/2015, 11:54

Siempre te mostrará contaseña incorrecta, porque a la variable user nunca le asignas un valor, por ende, cuando haces if(user != "") nunca se cumplirá ya que user está vacío, y por consiguiente, se ejecutará la sentencia else en la que muestras 'contraseña incorrecta'.

Te voy a dar algunos consejillos.

1. No mezcles código de modelo/negocio en tus vistas. Los scriptlets son malísimos desde un punto de vista de principios de desarrollo de software. Debes tener una capa de abstracción, que en tu caso es una clase llamada DB.

2. En lugar de scriplets usar JSTL (etiquetas).

Por ejemplo, esta clase se encarga del acceso a datos (DAO):

Código Java:

Ver originalpublic class LoginDao {
 
    public String login(String username, String password) {
        String sql = "SELECT usuario FROM tusuario WHERE " +
                     "userPrincipalName = ? AND pwdLastSet = ?";
        try (Connection con = ConnectionHelper.getConnection();
             PrepareStatement pst = con.prepareStatement(sql)) {
             // validas username y password si deseas
             ResultSet rs = pst.executeQuery();
             while(rs.next()) {
                return rs.getString("username");
             }
        } catch(SQLException e) {
            e.printStackTrace();
            return "";
        }
    }
}

Y así la usas en tu JSP:

Código XML:

Ver original<!-- esto va en el top de tu página JSP -->
<jsp:useBean id="userDao" class="tuspaquetes.UserDao" />
 
 
<!-- crea una variable 'loginUsername' y le asigna el retorno de la
    llamada al método login(String username, String password) -->
<c:set var="user" 
    value="#{userDao.login(request.getParameter('username'), request.getParameter('password')}" />
 
<!-- si loginUsername no está vacío, login correcto -->
<c:if test="#{!user.isEmpty()}">
    <c:set var="userPrincipalName" value="#{user}" scope="session" />
    <c:set var="logged" value="#{true}" scope="session" />
    <c:redirect url="bienvenido.jsp" />
</c:if>
<!-- caso contrario -->
<c:otherwise>
    <script>alert('Usuario o contraseña incorrectos');</script>
</c:otherwise>

Fíjate que el resultado de la llamada al método login, se lo asignamos a 'user', y esta misma variable la asignamos al scope session.

1. <c:set> Establece variables.
2. <c:if> If
3. <c:otherwise> Else
4. <jsp:useBean> Usar una clase en JSP (como hacer import)
5. <c:redirect> Redireccionar

aris_cielo · #7 (**permalink**) 29/07/2015, 14:15

gracias buen aporte muchas gracias por la observación y el consejo, pero tengo una duda en su código solo compara el usuario y la contraseña que se le ingrese desde el código?? es que ya me confundí.

Y lo que pasa es que con mi código valida la contraseña solo si se la coloco encriptada es por eso que quería saber que tipo de encriptación utiliza sql porque ya busque y no encuentro nada, y si le pongo la contraseña real me dice que no es correcta :(

Gracias.
Buena tarde :D

GusGarsaky · #8 (**permalink**) 29/07/2015, 14:32

Para un login solo necesitas que el username y la password sean correctas. Al enviar como condición la contraseña en tu consulta, el gestor de base de datos internamente compara las contraseñas con un algoritmo específico, por ende, no tienes que nada más que comparar la contraseña en texto plano ingresada con la hasheada en la base de datos.

aris_cielo · #9 (**permalink**) 30/07/2015, 10:43

considero que no tendría que hacer mas que meter la contraseña original en el formulario y que sql la convierta a su manera pero no es así, ya que para poder iniciar bien tengo que introducir la contraseña encriptada de sql :(

Gracias por el aporte.