como crear un sistema de recuperación de contraseña

uchi_pon · #1 (**permalink**) 13/05/2013, 14:48

Hola, podrian decirme como crear un sistema de recuperación de contraseña para usuarios olvidadizos en Dream weaber, se que es un tema algo largo por lo que con que me pasasen un link de un tutorial o cualquier consejo me vendra bien. lo unico que se es que necesitare conectarme a la BD para jalar de ay el mail de el usuario y la contraseña con ello crear un mail en donde le enviara su contraseña. creo que una de las cosas que mas me hace falta es como armar y enviar la información por mail.

Mariano_Floyd · #2 (**permalink**) 13/05/2013, 16:42

Tienes que hacerlo mediante un lenguaje del lado del servidor (php, asp, etc). Te recomendaría que no utilices dreamweaver, genera mucho código basura.

uchi_pon · #3 (**permalink**) 13/05/2013, 16:49

ok yo manejo php de echo se una parte de lo que debo hacer, bueno tengo una idea lo que haria seria una consulta con la db, en la que con un formulario el usuario metiera su mail y al enviar la consulta verificaria si existe el mail en la db y si existe entonces haria que con el parametro enviado que seria el id de usuario, guardado en la db, se creara un juego de registros en el que mostrara todo lo relacionado con ese id, entonces armaria un documento con el correo y la contraseña y despues no se como seguirlo por que no se como provocar es enviar un correo en automatico.
podrian ayudarme agradesco la respuesta anterior pero podrian aconsejarme algo ams especifico si se peude con php mejor pues no se usar asp.

Mariano_Floyd · #4 (**permalink**) 14/05/2013, 02:12

Mira no conozco mucho de php, pero conozco muy bien otros lenguajes, siguiendo la lógica: al recuperar la contraseña, ingresa el usuario, el mail y la pregunta de seguridad (es un ejemplo), seguido, mediante php se hace una validación comprobando dichos datos con una consulta a la db. Si coincide, mediante un get se toma la dirección del mail (para enviar el correo) y el usuario, generas una nueva pass con un algoritmo y la envías a la db (mediante un set) sobre-escribiendo la vieja, re envías la nueva (lo puedes hacer también con un get) en el mismo mail. Una vez con eso, el usuario puede acceder y modificar los datos en su perfil.

KatonSP · #5 (**permalink**) 14/05/2013, 08:35

¿No sabes mandar un mail con php o a que te refieres?

Saludos

uchi_pon · #6 (**permalink**) 14/05/2013, 12:25

Bueno, una de mis dudas era presisamente como mandar un mail con php, aunque creo que eso ya lo tengo bajo control, ayer que estaba investigando como hacerlo, ahora ya tengo creado el sistema de recuperación de contraseña pero el usuario recupera su misma contraseña y parece que la mayoria hace que se renueve su contraseña y el usuario recibe una nueva, no entiendo ¿por que? eso me molesta como usuario cuando pierdo una contraseña quiero recuperar la misma que tenia pues si me la cambian la nueva la tendre que cambiar de nuevo a una que pueda recordar mas facilmente, pero se que eso tendra alguna razon y quisiera saber cual es.

Carlangueitor · #7 (**permalink**) 14/05/2013, 12:32

Esto es por que si tu puedes recuperar la contraseña de la base de datos alguien más puede hacerlo. Entonces por lo general uno no almacena las contraseñas como tal, uno almacena un hash un salt y en ocasiones el algoritmo de cifrado, entonces recuperar la contraseña en texto plano es imposible (o por lo menos no es utilizable para autentificación) entonces por eso crea una nueva contraseña.

Saludos

uchi_pon · #8 (**permalink**) 14/05/2013, 12:47

ya veo mi sistema es entonces muy bulnerable pero imagino que esta bulnerabilidad viene desde el sistema de alta de usuario en donde la contraseña tal como es escrita la almaceno en la DB ¿de que forma podria modificarla para que se guarde en MD5? y tambien imagino que despues tendre tambien problemas para que esta se modifique o se recupere auqnue creo que de la forma sencilla ya lo consegui pero con aquellode el hash, y encriptacion no se casi nada.
podrian ayudarme cualquier cosa sera de ayuda links a tutos o al manuales etc etc.

memoadian · #9 (**permalink**) 14/05/2013, 17:47

para guardar con MD5 usa la funcion MD5

Código PHP:

Ver original$password = $_POST['password'];
$password = md5($password);
echo $password;

ese valor lo guardas en la db, cuando quieras comprobar al usuario, convierte lo que metió en el input a md5 y comparalo con lo que tienes en la base de datos

uchi_pon · #10 (**permalink**) 15/05/2013, 19:53

Ok, bueno solo entiendo la mitad, es decir lo que pusiste en el code para introducir el pass en MD5 en la BD pero ¿despues? cuando quiera jalar de ay no el hash sino la contraseña en si desencriptada ¿que debo hacer? espero no sea mucha molestia, no entiendo bien tus instrucciones ¿podrias escribir unas lineas de code?.
imagino algo mas o menos asi:

Código:

$password = $_POST['password'];
$password = md5($password);
if ($pasword == $passdelaBD)
{entras}
else
{no entras}

caricatos · #11 (**permalink**) 16/05/2013, 00:24

Hola:

Cita:

Iniciado por uchi_pon

...cuando quiera jalar de ay no el hash sino la contraseña en si desencriptada ¿que debo hacer?
...

Si se puede desencriptar una contraseña, puede existir una vulnerabilidad no deseada.
En vez de recuperar una contraseña, puedes crear una nueva (me refiero al usuario)...

Tengo un sistema para insertar comentarios que deben validarse por correo electrónico. Cuando crean el mensaje les envío a la cuenta de correo una url con una clave que debe insertar en una página que también facilito, y así la vulnerabilidad es mínima (no me han colado más spam en mi sistema).

Saludos

Carlangueitor · #12 (**permalink**) 16/05/2013, 11:38

Se supone que no puedes obtener la contraseña descifrada (quizá con algún algoritmo de fureza bruta, pero podrías tardar unos minutos, o meses), solo crear una nueva (y está bien así por cuestiones de seguridad).

Saludos

memoadian · #13 (**permalink**) 17/05/2013, 12:13

Como dicen, una vez encriptada el objetivo es que no pueda desencriptarla.

Lo que debes hacer en caso de recuperación es tener un campo recuperación en tu bd

cuando el usuario de click en "recuperar contraseña" el sistema debe crear un hash en el campo que te digo, ese hash lo mandas como link al correo electrónico.

de este modo http://link.li/hashlargo

cuando el usuario de click en ese link el sistema comprueba que el hash es correcto y lo lleva a un formulario de edición de contraseña y listo, pone la nueva contraseña y esta se setea.

caricatos · #14 (**permalink**) 17/05/2013, 15:23

Hola:

memoadian: Parece que tu enlace está roto o tiene restricción... (al menos yo no he podido entrar); aprovecho para mostrar mi referencia: Ponga comentarios en su web, en la parte que pone "Activación por e-mail".

Saludos

Carlangueitor · #15 (**permalink**) 17/05/2013, 18:17

pues yo también tengo código, pero es en python :/

uchi_pon · #16 (**permalink**) 18/05/2013, 18:08

Hola, me parece interesante las maneras de desencriptarla, pero no me referia a eso de hacerse con contraseñas de manera clandestina, ni ataques de fuerza bruta ni nada de eso, yo mas bien me referia a que, bueno una vez que el usuario mete su contraseña y esta es guardad en la base de datos como MD5, despues ¿como es que ese usuario hara uso de su contraseña? ya sea para simplemente acceder, cambiarla o recibir en su mail una nueva? en si mi pregunta es para poder modificar mi proyecto, de manera que el uauario pueda hacer todo esto despues de guardar su contraseña en MD5.
saludos y gracias.

pr0 · #17 (**permalink**) 20/05/2013, 09:28

Encriptas la contraseña introducida por el usuario en el formulario de login, comparas con la que tiene en la base de datos y si son la misma.... TACHÁN!

Carlangueitor · #18 (**permalink**) 20/05/2013, 11:10

Exactamente, lo que tienes que hacer es comparar hashs, así como tu mismo has puesto en tu mensaje anterior.

Saludos

uchi_pon · #19 (**permalink**) 20/05/2013, 12:21

Genial gracias.