FTP | CCD | Buscar | Trucos | Trabajo | Foros |
|
Registrarse | FAQ | Miembros | Calendario | Guía de estilo | Temas de Hoy |
|
Herramientas | Buscar en Tema | Desplegado |
|
#1
|
||||
|
||||
MAL. MUY MAL. Allí hay otro problema más de seguridad.
Una password no se debe cifrar. Porque si se ha de cifrar entonces quiere decir que existe la posibilidad de descifrar... ya sea en un segundo o dentro de 50 años. En todo caso lo que se almacena no es la contraseña sino una representación de la misma que no sea capaz de lograr el paso inverso. Esto se consigue con algoritmos de reducción, como MD5 por ejemplo. Ahora bien esto no quiere decir que tampoco sea infalible... después de todo es posible que incluso los algoritmos de reducción no funcionen como deben. El asunto pasa por dificultar lo más posible las cosas al atacante de modo que para cuando logre pasar la seguridad la información que contenga no le sea relevante y ya tengas una aplicación más robusta. Saludos, |
#2
|
||||
|
||||
Claro, no deben guardarse los passwords cifrados, ya que entonces existe la posibilidad de descifrarlos.
También hay que aclarar que depende para qué se va usar, como siempre, no es lo mismo una tiendecita de barrio que los datos de una entidad bancaria. |
#3
|
||||
|
||||
Los password yo los suelo guardar en hash, no es infalible, pero al menos no es reversible, recuerda que hay muchas páginas que puedes llegar con MD5 o con un HASH y te dice cual es su representación, esto es por que ya han calculado miles de millones de contraseñas de manera aleatoria y les han aplicado el MD5, HASH y otros cuantos algoritmos, es mucho trabajo, cabe aclarar.
Saludos.
__________________
mas confundido que Garavito el día del Niño. |
#4
|
||||
|
||||
Cita:
Cita:
|
#5
|
|||
|
|||
Cita:
Última edición por ElMug fecha: 29-09-2012 a las 01:39:18. |
#6
|
||||
|
||||
Cita:
NO te entendí. A ver si te explicas. Lo que yo te critiqué y lo vuelvo a hacer es que NO SE CIFRA UNA PASSWORD. O mejor dicho, no se debería. Mi crítica fue muy directa y puntual al señalar que el cifrado de password no es correcto ni apropiado. Tu dijiste muy clarito: Cita:
Yo por mi parte lo vuelvo a recalcar, las contraseñas no se cifran. Y no creo que ningun motor de base de datos que se precie guarde una contraseña cifrada... aún con el algoritmo más robusto. Firebird guarda un hash MD5, como así también lo hace Linux. Y si lo hace Linux ¿es por algo verdad? No te critico que esté mal o no cifrar una base de datos, o mejor dicho: el contenido de una base de datos. Lee bien lo que yo te he citado.... me limité a lo que es passwaord, sea de base de datos, o lo que fuese. it simple. Saludos, Última edición por Delphius fecha: 29-09-2012 a las 04:57:07. |
#7
|
|||
|
|||
Cita:
Asi que aclarame: + Cual es el verbo que aplicas cuando el password no se graba de manera legible, pero en su lugar se graba algo que esta codificado? + Cual es el verbo que se aplica cuando se graba el producto de MD5? Ahora, de que cómo lo codifica un motor de datos, no creo haberlo puesto en mis comentarios, ni creo que lo haya puesto como interes, o punto de discusion. Realmente no entiendo el afan en tu argumento, Delphius, asi que haz favor de explicar cual es. |
#8
|
||||
|
||||
Cita:
Picar o cortar sería lo más apropiado, no existe manera, aún, de aplicar un proceso reversible. Por esto es que un Password no se cifra, por que se puede obtener el mismo haciendo un proceso inverso. Saludos.
__________________
mas confundido que Garavito el día del Niño. |
#9
|
||||
|
||||
Por algo está el diccionario. Y existe un amplísimo concenso de lo que es y no es cifrar.
Cita:
Una cosa es codificar, cuyo objetivo es luego descomponerlo para obtener el original. Y otra muy diferente es obtener una "clave" que represente de manera inequívoca y única un mensaje, o lo que fuese. No hay un término aceptado en nuestra lengua para ello, pero no por dicha falta se debiera utilizar el término cifrado. Ya que se trata de algoritmos de reducción lo más de esperarse es que su hubiera un término relacionado con la palabra reducción. Tal vez no sean las mejores palabras las propuestas por mightydragonlor pero es un comienzo. Cita:
Cita:
No sucede lo mismo con los algoritmos de reducción, que no son invertibles. Y he dado dos ejemplos en donde puedes encontrar justamente la utilización de MD5: uno de ellos es precisamente un motor de base de datos, Firebird. Y el otro es un sistema Operativo, Linux. En ambos en lugar de almacenar las contraseñas cifradas, se guarda la reducción o su clave MD5. Y si tienes dudas al respecto, allí tienes sus códigos fuentes... que son proyectos Open Source. Y seguramente se pueden encontrar más ejemplos de la utilización de algoritmos de reducción en lugar de almacenar contraseñas. No te critiqué en lo demás. Solamente me detuve a señalar tu gravísima falta sobre una apreciación tuya que intentaste pasar como la gran verdad justamente al exponerlas en mayúsculas y en explicarte que en eso estás muy errado. Y ahora me detengo en señalarte a ti ya que eres tan metido en inglés y en el español como lo has estado dando cátedra estos días... ¿Cómo carajos se te ocurre decir cifrado a algo que no lo es si en verdad no era tu intención llamarlo así? Si hubieras expuesto comillas a la palabra, al menos así se valdría y se entendería que no necesariamente te referías exactamente a un cifrado sino a otra cosas algo "similar". Oh... mira, usé comillas... seguramente las conoces y saben para que son. Saludos, Última edición por Delphius fecha: 29-09-2012 a las 20:49:07. |
#10
|
|||
|
|||
Hola Delphius,
Creo que te andas pasando de la raya en tus juicios y te haces eso que te precipites en fallas. 1. En primer lugar, basicamente toda esta tecnologia esta definida en Ingles, y hasta tu mismo admites que no hay palabras apropiadas para algunos terminos en Español 2. Aplicar el resultado de un proceso MD5, por ejemplo, para mi es "Encryption" y yo la traduzco como cifrar. Antes use "encriptar" pero luego vi que esa palabra no existe en el diccionario de la Real Academia Española. En cambio la palabra "cifrar" si existe. Esto lo menciono porque traes como arma de ataque "el uso del diccionario". 3. Los procesos como el MD4, el MD5, los SHA, y sus derivados, en Ingles siguen siendo "encryption algorithms". Y si tu no les puede poner nombre en Español, pues para mi siguen siendo "cifrar". 4. Son algoritmos de "one way", o sea que no hay desde principio "anti-algoritmo", o sea algoritmo de revertir. Mas eso no les quita que sigan siendo "encryption" o "cifrar". Y aunque veo que NO TE PARECE el nombre, veo tambien que NO TIENES alternativa. Es por eso que sinceramente no comprendo tu afan en el argumento. 5. Ahora en cuanto a los errado de tus argumentos, uno de ellos es el que "No se cifran" y argulles que de lo contrario se podria averiguar el password de los usuarios, aunque admites que puede tardar 50 años. Pues bien, fijate que ESA no es la razon por la que se usa el "hashing". La principal razon es porque los algoritmos bi-direccionales son mucho mas lentos que los de tipo "hashing", y tambien usan mas recursos de memoria y CPU. Claro que esto es fundamento historico, pero tu argumento de que con ellos nadie puede saber el password, yo te digo que, actualmente, es mucho mas facil violar un MD5 que un algoritmo de dos vias. 6. Linux, hasta donde se, por ejemplo ya no usa el MD5, pues deberias de saber que simplemente con poner en google el resultado de un hash, es alta la posibilidad de que saque una frase que de ese hash. Y es que hay diccionarios con BILLONES de hashes, disponibles a quien sea que facilitan eso. Claro que el logro se relaciona con lo complejo de el password usado. 7. Aparte, que esta demostrado que por ejemplo para el MD5, hay mas de UNA frase que de como resultado el mismo MD5. Eso ya esta verificado, al grado que el MD5 se considera inapropiado para uso en passwords, y ningun sistema de reputacion lo usa para cifrar passwords ("encriptar" o lo que gusteis llamarle). A eso se le llaman (en Ingles) "Collitions", y creo que serian "coliciones" o "choques", mas no porque no haya el termino (en Español), ya ande uno errado en lo tecnico. La verdad es que ahorita me gustaria saber de donde sacaste eso de que "no se cifran" los passwords (entendiendo que te refieres a que en exclusiva, se use hashing), y especialmente LAS RAZONES, que lo justifiquen, y no me refiero a la tradicion. Si crees que "hashing" es de alguna manera "superior" a un algoritmo de dos vias, pues explicate el por que. Ahora, a falta de terminos, para traducir el cifrado en base de "hashing" o algoritmos uni-direccionales, pues hay varias, y no "picar" como se ha sugerido. "Comprimir" o "Digerir", diria que serian mucho mas adecuados. Última edición por ElMug fecha: 30-09-2012 a las 04:36:31. |
|
|
Temas Similares | ||||
Tema | Autor | Foro | Respuestas | Último mensaje |
Insertar datos entre bases de datos diferentes | franjero | Firebird e Interbase | 1 | 19-06-2012 08:32:42 |
seguridad en bases de datos firebird | anubis | Firebird e Interbase | 10 | 26-02-2008 20:40:07 |
Como pasar datos de una hoja de Excel a Bases de Datos de Paradox | Goyo | OOP | 1 | 06-02-2007 01:57:20 |
Seguridad para bases de datos Interbase | BuenaOnda | Conexión con bases de datos | 6 | 03-01-2007 22:43:12 |
Seguridad de las bases de datos | Osorio | Firebird e Interbase | 1 | 03-08-2003 13:45:09 |
|