Cita:
Empezado por Delphius
MAL. MUY MAL. Allí hay otro problema más de seguridad.
Una password no se debe cifrar. Porque si se ha de cifrar entonces quiere decir que existe la posibilidad de descifrar... ya sea en un segundo o dentro de 50 años.
En todo caso lo que se almacena no es la contraseña sino una representación de la misma que no sea capaz de lograr el paso inverso. Esto se consigue con algoritmos de reducción, como MD5 por ejemplo. Ahora bien esto no quiere decir que tampoco sea infalible... después de todo es posible que incluso los algoritmos de reducción no funcionen como deben.
El asunto pasa por dificultar lo más posible las cosas al atacante de modo que para cuando logre pasar la seguridad la información que contenga no le sea relevante y ya tengas una aplicación más robusta.
Saludos, |
No estoy hablando de lo que lo que un programador pueda o quiera hacer, en lo que me refiero, es a los motores de datos que hacen su cifrado de los passwords, mediante sus servicios, aun cuando la data esta grabada sin cifrar.