Criptografia - Programar un cifrado de una clave

   
Vista:

Programar un cifrado de una clave

Publicado por Victor (1 intervención) el 27/12/2007 01:36:14
Es para programadores...

¿Para qué me he estado molestando en seguir el script de "Autentificator" creado por Cluster si él guarda las claves en formato md5() pero se envían desde el cliente al servidor en texto plano?

Es decir, ¿de qué me sirve guardar algo cifrado si se retransmite libre.

Después, me quedé pensando y puedo aprovechar un programa JAVA para cifrar en origen la clave y mandarla en ese mismo formato (por ejemplo) a través del puerto 80 y ya en destino se compara sin convertirla ya a md5().

Pero claro, esto ¡¡¡TAMPOCO SIRVE DE NADA!!! pues aunque la retransmisión esté cifrada, si me cogen la clave en md5 o sha1, crypt, rsa etc... SIEMPRE y digo SIEMPRE me pueden interceptar el login (mi_usuario) por ejemplo, y el password (234asdfasklj24234lkj234lñkj3) por ejemplo, y con esos dos datos, siempre, atacar al servidor para acceder a mis mismos lados.

Vamos, que da igual que sea "manolito" o "sd234lñ23f4kj234sad423fñljk" porque sigue siendo algo que al comparar, el servidor va a seguir teniendo en su base de datos.

Con lo que lo único fiable sería una conexión por ssh o ssl.

¿Me equivoco?

¿Alguien me puede razonar mis dudas?

Muchas gracias por adelantado,
Víctor.
Valora esta pregunta
Me gusta: Está pregunta es útil y esta claraNo me gusta: Está pregunta no esta clara o no es útil
0
Responder
información
Otras secciones de LWP con contenido de Criptografia
- Cursos de Criptografia
- Temas de Criptografia
información
Cursos y Temas de Criptografia
- Curso Básico de Criptografía clásica
- Introducción a la Criptografía
- Manual de criptografía

RE:Programar un cifrado de una clave

Publicado por Cluster (1 intervención) el 17/01/2008 13:35:31
Lo único que debes hacer es ejecutar tu aplicación (use o no "Autentificator" como sistema de gesión de usuarios) bajo SSL. Eso es el "tunel" realmente seguro y encriptado para establecer la comunicación segura entre cliente y servidor. Por otro lado, el soporte SSL no lo dá una aplicación escrita en PHP sino un módulo instalado y configurado en el servidor (HTTP), a lo sumo los creadores de este tipo de aplicaciones deberían (amos) hacer una reseña sobre el uso de SSL recomendado en general para mejorar la seguridad.

El hecho que se almacenen las contraseñas encriptadas (MD5) en el servidor no es más que para evitar que "administradores" del servidor que corra este tipo de aplicaciones usen totalmente transparente las contraseñas para hacer "login" en esas mismas aplicaciones. (Igualmente cara al "administrador" de ese servidor los datos están expuestos de cualquier forma ...).

De hecho el formato MD5 como deben conocer yo no es del todo seguro tampoco ... Así que actualmente va perdiendo sentido incluso almacenar las contraseñas en formato MD5. Ejemplo:

http://tools.web-max.ca/encode_decode.php

Un saludo,
Cluster.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar