Inicio > PHP, Programación, Web > Como evitar la obtención de una clave mediante diccionario MD5/SHA1

Como evitar la obtención de una clave mediante diccionario MD5/SHA1


Aunque no es un sistema infalible, si ayuda bastante cifrar las claves en md5 o sha1 antes de guardarlas en las bases de datos, pues hará que si alguien accede la misma no pueda saber cuales son las contraseñas originales.

El sistema suele ser obtener la clave desde el usuario, cifrarla y guardar el hash devuelto.

Después, a la hora de identificar el usuario, lo que hacemos es volver a cifrar la clave enviada y comparar ambos hash.

Ahora bien, existen varios buscadores, como http://md5crack.com/,  que al introducir un hash nos devuelve la cadena que lo genera. Si bien para claves muy complejas es raro que lo devuelva, si es muy probable para contraseñas simples.

La mejor manera de evitar esto es usar contraseñas complejas, pero cuando somos websmaters sabemos que nuestros usuarios no lo harán, así que lo mejor es añadir nosotros una semilla a su cadena.

Por ejemplo, usamos la semilla “asfdjJJI6*/a–:çñadfh487AF”, así, a lo burro,  y cada vez que vayamos a obtener el hash añadimos esa semilla a la contraseña, lo cual hará que la contraseña del usuario sea una contraseña compleja de cara al hash generado, evitando así que este aparezca en los diccionarios.

En PHP el ejemplo sería algo así:

$pass = $_POST['pass'];
$semilla = 'asfdjJJI6*/a--:çñadfh487AF';
$hash = md5($semilla.$pass);

Esto sirve tanto para MD5 como para Sha1 o cualquier otro.

Anuncios
Categorías:PHP, Programación, Web Etiquetas: , ,
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: