Las preguntas aqui son 2:
1.- ¿Que tan importante es la información que estas protejiendo?
2.- ¿Tu servidor soporta https?
Para usar https, el servidor debe de estar configurado para poder usarlo, asi que si usas un servidor gratuito, o no tienes tu acceso a la configuración del servidor, pues esta queda descartada. Algunos proveedores de hosting te dan el https por un precio extra al mes ó al año.
Por otro lado, la encriptación de los datos que envia el usuario, generalmente se hace por medio de JavaScript, Java, Flash, ocx, etc.. etc....
Una forma que he visto muy común es hacer MD5 al passwd que introduce el usuario y mandarlo asi al servidor. De tal suerte que el login lo mandas sin encriptar y el passwd lo encriptas. Cuando el servidor recive el login busca en la base de datos el passwd (y en caso de no estar encriptado lo encripta usando MD5), y compara las dos encriptaciones. Si coinciden entonces es el passwd y la persona tiene permiso de entrar a la página web.
Como Nota el MD5 es un formato bastante seguro ya que no existe forma de desencriptarlo. Si quieres descubrir un passwd encriptado por MD5 tienes que usar fuerza bruta. Si ha esto le agregamos que MD5 siempre arroja una palabra de 32 caracteres, sin importar de que tamaño sea el texto que encripta, veras que es bastante dificil romper un passwd de MD5.
Páginas web que lo usan: Yahoo, cuando te logeas para entrar al correo electronico, a los grupos, o a cualquier otra opción. Tiene la opción de servidor seguro (por https), y opción normal. En opción normal, encripta el passwd con MD5 usando una funcion de JavaScript antes de enviarlo.
Cabe aclarar que yahoo encripta el passwd + una palabra clave, para darle a esto un plus de seguridad, ya que cada vez que se recarga la página la palabra cambia y por lo tanto cada vez que se envia el passwd la encriptación tambien cambia.
Digo palabra clave por decirlo bonito, pero si ves el codigo de Yahoo entenderas que es un poquito mas complicado que una sola palabra clave.
Saludos!
-
Miguel Angel
Mike79
