Cita:
Empezado por ElMug
Lo que SI se cifra son los passwords
|
MAL. MUY MAL. Allí hay otro problema más de seguridad.
Una password no se debe cifrar. Porque si se ha de cifrar entonces quiere decir que existe la posibilidad de descifrar... ya sea en un segundo o dentro de 50 años.
En todo caso lo que se almacena no es la contraseña sino una representación de la misma que no sea capaz de lograr el paso inverso. Esto se consigue con algoritmos de reducción, como
MD5 por ejemplo. Ahora bien esto no quiere decir que tampoco sea infalible... después de todo es posible que incluso los algoritmos de reducción no funcionen como deben.
El asunto pasa por dificultar lo más posible las cosas al atacante de modo que para cuando logre pasar la seguridad la información que contenga no le sea relevante y ya tengas una aplicación más robusta.
Saludos,