FTP | CCD | Buscar | Trucos | Trabajo | Foros |
|
Registrarse | FAQ | Miembros | Calendario | Guía de estilo | Buscar | Temas de Hoy | Marcar Foros Como Leídos |
|
Herramientas | Buscar en Tema | Desplegado |
#1
|
||||
|
||||
Gestionar contraseñas ??????????
hola foro
dos preguntas 1.- Tengo un formulario que gestiona una tabal usuarios que esta en mysql5 en la cual uno delos campos es clave(osea donde almacena su clave), su longitud es de 41 caracteres, esa codificado usando la funcion SHA de mysql, donde para almacenar una contraseña pongo sha("clave") y sale una serie de numero y letras que son en total 41 todo bien hasta aqui el problema es que nesecito gestionar esto por medio de un formulario, donde se ingresan nombres, apellidos usuario y contraseña, pero al almacenar la contraseña el hago los siguiente el problema es que al navegar por lo registros a travez del form aparece la contraseña encriptada, no la normal como hago para recuperar la normal para que el usuario sepa cual es su contraseña en todo momento 2.- es cierto que Oracle compro a borland? me despido agradecido de antemano por cualquier respues
__________________
Yo se que muchas veces te paso ESTO |
#2
|
||||
|
||||
Hola,
La contraseña "normal" o "en claro" es la que el usuario te proporciona... es decir, tú has de limitarte a comprobar si el SHA (en este caso) de la contraseña "en claro" (que te proporciona el usuario) coincide con el SHA que se guarda en la base de datos para dicho usuario. Pero, de entrada tú ya tienes la contraseña "en claro", y, por otro lado, no podrías obtenerla de la base de datos, puesto que se guarda ya "cifrada". PD. Ignoro ahora si se guarda cifrada o si SHA es un "hash" de la contraseña. Esto último es lo habitual, guardar un "hash" de la contraseña, no una cadena cifrada, puesto que se entiende que un "hash" no puede revertirse, mientras que una cadena cifrada siempre podría descifrarse. |
#3
|
|||
|
|||
eso no se tiene que hacer.
la seguridad de tu sistema esta en que la contraseña esta cifrada. si quieres que el usuario, vea la contraseña, entonces, no la cifres. 2 de donde sacas eso de oracle y borland??? |
#4
|
||||
|
||||
ya, por ejemplo si el usuario desea loguearse ingresa su contraseña y loque yo hago para verificar si la contraseña ingresada es la que corresponde con la guardada en la tabla hago esto
c:= edit1.text; ZTEMp.sql.text := 'select sha(" ' + c + '")'; ZTEMp.open; if zUsuers.FieldByName('pwd').asString=ZTEMp.fields[0].asstring thenç //aceesos concebido else //denegado lo que deseo hacer el lo contrario
__________________
Yo se que muchas veces te paso ESTO |
#6
|
||||
|
||||
Hola,
A ver, porque creo que estamos liando las cosas, y no sólo con el tema de Oracle y Borland. Hasta donde yo llego, las contraseñas no se guardan cifradas, esto es, si entendemos por cifradas algo que podría llegar a descifrarse conociendo el algoritmo y la clave oportuna. SHA significa "Secure Hash algorithm", es decir, que no se trata de un algoritmo de cifrado (aunque reconozco que yo aquí estoy más perdido que un pavo en un garaje el día de navidad), pero es un algoritmo de "hashing". No es lo mismo. El primero se puede revertir, el segundo no. En mi experiencia, lo que se guarda en una base de datos no son las contraseñas de los usuarios en claro, ni si quiera cifradas, sino que lo que se guarda es un "hash" de las contraseñas, ni más, ni menos. De ese modo, ni siquiera el administrador del sistema puede conocer la contraseña de un usuario, en teoría. Ahora tú supón que tienes una tabla "users" con los campos "user_login" y "user_password". El usuario te proporciona su login y contraseña (en claro) y tú tienes que verificar si efectivamente es un usuario registrado o no lo es. La consulta SQL debería quedar tal que así:
¿Se comprende? Tú ya tienes la contraseña en claro: te la tiene que proporcionar el usuario. Y lo que tú haces es obtener el "hash" de esa contraseña en claro que te proporciona el usuario y buscar ese "hash" en la tabla de usuarios. Si el "hash" aparece, significa que la contraseña proporcionada es correcta, puesto que su "hash" coincide con el guardado en la base de datos. Otra cosa es lo que apunta la consulta SQL que he puesto arriba: habría que comprobar también el login de usuario, suponiendo que dos usuarios podrían tener la misma contraseña. Y acaso haya que tener otras cosas en cuenta en este sentido, pero, en todo caso, insisto, si lo que quieres es la contraseña en claro del usuario... este mismo te la da. Y además tiene que ser así, siempre que sólo guardes el "hash" de las contraseñas en la base de datos: tú no puedes deducir de un "hash" la contraseña correspondiente. Última edición por dec fecha: 31-12-2007 a las 01:08:42. |
#7
|
|||
|
|||
ya lo dijo dec. si quieres saber que cadena de caracteres, o
que contraseña uso el usuario, a partir del hash que tienes en tu base de datos no vas a poder usando hash, lo que necesitas es un algoritmo reversible (tu lo puedes hacer quitando ponienodo datos a la contraseña de tus usuario. una funcion servira.) digamos, como lo hacen los programadores que hacen software trial tu te registras, y el fabricante del software. te envia por mail un archivo de texto con tu serial o llave. para volver tu version trial en completamente funcional, yo he visto este tipo de mecanismos. la cadena devuelta es de este tipo de carateres sin sentido deoidadoah233208===00=02342e23 al ingresarla y usar la opcion acerca de o about. del programa me dice software registrado a jxj del empresa JXJ, Enterprise Unlimited Internacional siendo que antes de registrarlo decia software no registrado. |
#8
|
|||
|
|||
si eso es cierto oracle se me adelanto a comprar borland
|
#9
|
||||
|
||||
Todo lo que te han dicho es totalmente válido. El Hash lo que hace de una u otra forma es almacenar la contraseña de forma que no sea visible desde afuera. No hes seguro "browsear" la tabla mediante un grid o similar para ver las contraseñas, después de todo ni siquiera el administrador las debe conocer. Para los casos en los que el usuario pierde u olvida su contraseña lo normal es "resetearla" asignándole una contraseña por default que obviamente el usuario tiene que cambiar en cuanto se loguea por primera vez al sistema.
Lo más normal es solo poder consultar una lista con los nombres de usuario o sus privilegios más no sus contraseñas. Como ya comenté el administrador no puede ni debe tener acceso a la "llave" de los usuarios, este es un prinicipio básico de seguridad.
__________________
AKA "El animalito" ||Cordobés a mucha honra|| |
#11
|
||||
|
||||
Hola,
Cita:
|
#12
|
||||
|
||||
Cita:
__________________
AKA "El animalito" ||Cordobés a mucha honra|| |
Herramientas | Buscar en Tema |
Desplegado | |
|
|
Temas Similares | ||||
Tema | Autor | Foro | Respuestas | Último mensaje |
Gestionar un Proyecto por varias personas | belpab | Varios | 33 | 16-09-2008 15:39:09 |
Como gestionar un proyecto | Aprendiendo | Varios | 1 | 30-06-2007 00:28:14 |
Gestionar excepciones | Angel.Matilla | C++ Builder | 0 | 29-01-2007 13:41:54 |
gestionar WM_MOUSEWHEEL en Scrollbox | Critter | Varios | 0 | 30-10-2006 19:53:00 |
Gestionar Base de Datos | tarco35 | Conexión con bases de datos | 1 | 22-11-2003 15:55:33 |
|