seguridad en bases de datos

[[mightydragonlor]]

Los password yo los suelo guardar en hash, no es infalible, pero al menos no es reversible, recuerda que hay muchas páginas que puedes llegar con MD5 o con un HASH y te dice cual es su representación, esto es por que ya han calculado miles de millones de contraseñas de manera aleatoria y les han aplicado el MD5, HASH y otros cuantos algoritmos, es mucho trabajo, cabe aclarar.

Saludos.

[Casimiro Notevi]

Cita:

Empezado por mightydragonlor

Los password yo los suelo guardar en hash, no es infalible, pero al menos no es reversible

También suelo seguir ese método.

Cita:

Empezado por mightydragonlor

recuerda que hay muchas páginas que puedes llegar con MD5 o con un HASH y te dice cual es su representación, esto es por que ya han calculado miles de millones de contraseñas de manera aleatoria y les han aplicado el MD5, HASH y otros cuantos algoritmos, es mucho trabajo, cabe aclarar.

De eso no no tenía noticias

[ElMug]

Cita:

Empezado por Delphius

MAL. MUY MAL. Allí hay otro problema más de seguridad.

Una password no se debe cifrar. Porque si se ha de cifrar entonces quiere decir que existe la posibilidad de descifrar... ya sea en un segundo o dentro de 50 años.
En todo caso lo que se almacena no es la contraseña sino una representación de la misma que no sea capaz de lograr el paso inverso. Esto se consigue con algoritmos de reducción, como MD5 por ejemplo. Ahora bien esto no quiere decir que tampoco sea infalible... después de todo es posible que incluso los algoritmos de reducción no funcionen como deben.

El asunto pasa por dificultar lo más posible las cosas al atacante de modo que para cuando logre pasar la seguridad la información que contenga no le sea relevante y ya tengas una aplicación más robusta.

Saludos,

No estoy hablando de lo que lo que un programador pueda o quiera hacer, en lo que me refiero, es a los motores de datos que hacen su cifrado de los passwords, mediante sus servicios, aun cuando la data esta grabada sin cifrar.

[[Delphius]]

Cita:

Empezado por ElMug

No estoy hablando de lo que lo que un programador pueda o quiera hacer, en lo que me refiero, es a los motores de datos que hacen su cifrado de los passwords, mediante sus servicios, aun cuando la data esta grabada sin cifrar.

¿WHAT?
NO te entendí. A ver si te explicas.

Lo que yo te critiqué y lo vuelvo a hacer es que NO SE CIFRA UNA PASSWORD. O mejor dicho, no se debería.
Mi crítica fue muy directa y puntual al señalar que el cifrado de password no es correcto ni apropiado. Tu dijiste muy clarito:

Cita:

Lo que SI se cifra son los passwords

LEE BIEN. Tu dijiste que las password se cifran. Yo simplemente te he dado una explicación de porque NO se cifran. Si tu no entiendes que el proceso por el cual pasan sobre las contraseñas no es un algoritmo de cifrado no es mi problema.

Yo por mi parte lo vuelvo a recalcar, las contraseñas no se cifran. Y no creo que ningun motor de base de datos que se precie guarde una contraseña cifrada... aún con el algoritmo más robusto. Firebird guarda un hash MD5, como así también lo hace Linux.
Y si lo hace Linux ¿es por algo verdad?
No te critico que esté mal o no cifrar una base de datos, o mejor dicho: el contenido de una base de datos. Lee bien lo que yo te he citado.... me limité a lo que es passwaord, sea de base de datos, o lo que fuese. it simple.

Saludos,

[ElMug]

Cita:

Empezado por Delphius

¿WHAT?
NO te entendí. A ver si te explicas.

Lo que yo te critiqué y lo vuelvo a hacer es que NO SE CIFRA UNA PASSWORD. O mejor dicho, no se debería.
Mi crítica fue muy directa y puntual al señalar que el cifrado de password no es correcto ni apropiado. Tu dijiste muy clarito:



LEE BIEN. Tu dijiste que las password se cifran. Yo simplemente te he dado una explicación de porque NO se cifran. Si tu no entiendes que el proceso por el cual pasan sobre las contraseñas no es un algoritmo de cifrado no es mi problema.

Yo por mi parte lo vuelvo a recalcar, las contraseñas no se cifran. Y no creo que ningun motor de base de datos que se precie guarde una contraseña cifrada... aún con el algoritmo más robusto. Firebird guarda un hash MD5, como así también lo hace Linux.
Y si lo hace Linux ¿es por algo verdad?
No te critico que esté mal o no cifrar una base de datos, o mejor dicho: el contenido de una base de datos. Lee bien lo que yo te he citado.... me limité a lo que es passwaord, sea de base de datos, o lo que fuese. it simple.

Saludos,

Tal vez cifrar para ti es una cosa y para mi es otra.

Asi que aclarame:

+ Cual es el verbo que aplicas cuando el password no se graba de manera legible, pero en su lugar se graba algo que esta codificado?

+ Cual es el verbo que se aplica cuando se graba el producto de MD5?

Ahora, de que cómo lo codifica un motor de datos, no creo haberlo puesto en mis comentarios, ni creo que lo haya puesto como interes, o punto de discusion.

Realmente no entiendo el afan en tu argumento, Delphius, asi que haz favor de explicar cual es.

[[mightydragonlor]]

Cita:

Empezado por ElMug

+ Cual es el verbo que aplicas cuando el password no se graba de manera legible, pero en su lugar se graba algo que esta codificado?

Cifrar, y para obtenerlo de nuevo, descifrar.

Cita:

Empezado por ElMug

+ Cual es el verbo que se aplica cuando se graba el producto de MD5?

Picar o cortar sería lo más apropiado, no existe manera, aún, de aplicar un proceso reversible.
Por esto es que un Password no se cifra, por que se puede obtener el mismo haciendo un proceso inverso.

Saludos.

[[Delphius]]

Cita:

Empezado por ElMug

Tal vez cifrar para ti es una cosa y para mi es otra.

Por algo está el diccionario. Y existe un amplísimo concenso de lo que es y no es cifrar.

Cita:

Empezado por ElMug

+ Cual es el verbo que aplicas cuando el password no se graba de manera legible, pero en su lugar se graba algo que esta codificado?

Aquí es justamente tu problema: porque para ti justamente es equivalente hablar de manera "ilegible" tanto un algoritmo de cifrado con algoritmo de reducción.
Una cosa es codificar, cuyo objetivo es luego descomponerlo para obtener el original. Y otra muy diferente es obtener una "clave" que represente de manera inequívoca y única un mensaje, o lo que fuese.

Cita:

Empezado por ElMug

+ Cual es el verbo que se aplica cuando se graba el producto de MD5?

No hay un término aceptado en nuestra lengua para ello, pero no por dicha falta se debiera utilizar el término cifrado.
Ya que se trata de algoritmos de reducción lo más de esperarse es que su hubiera un término relacionado con la palabra reducción. Tal vez no sean las mejores palabras las propuestas por mightydragonlor pero es un comienzo.

Cita:

Empezado por ElMug

Ahora, de que cómo lo codifica un motor de datos, no creo haberlo puesto en mis comentarios, ni creo que lo haya puesto como interes, o punto de discusion.

Claro que lo has puesto. Al haber asegurado, y enmarcarlo con mayúsculas lo dejaste bien en claro. Tu mismo lo has asegurado: las contraseñas SI se cifran. Entonces, desde tu punto de vista por tanto en cualquier software que se requiere de una contraseña las mismas estarán cifradas, cual sea el algoritmo elegido no interesa... mientras sea de cifrado.

Cita:

Empezado por ElMug

Realmente no entiendo el afan en tu argumento, Delphius, asi que haz favor de explicar cual es.

Lo expliqué en claro: señalarte tu falta, tu error. Me he limitado a decirte que las contraseñas NO se han de cifrar, o mejor dicho no se deberían (porque hay quienes lo hacen... o peor aún... la almacenan de secas). Que es una falta de seguridad hacerlo ya que como algoritmos de cifrado se puede recuperar el original. Si toma 5, 10 o 50 años no interesa. El punto es que es posible revertirlo.

No sucede lo mismo con los algoritmos de reducción, que no son invertibles. Y he dado dos ejemplos en donde puedes encontrar justamente la utilización de MD5: uno de ellos es precisamente un motor de base de datos, Firebird. Y el otro es un sistema Operativo, Linux. En ambos en lugar de almacenar las contraseñas cifradas, se guarda la reducción o su clave MD5. Y si tienes dudas al respecto, allí tienes sus códigos fuentes... que son proyectos Open Source. Y seguramente se pueden encontrar más ejemplos de la utilización de algoritmos de reducción en lugar de almacenar contraseñas.

No te critiqué en lo demás. Solamente me detuve a señalar tu gravísima falta sobre una apreciación tuya que intentaste pasar como la gran verdad justamente al exponerlas en mayúsculas y en explicarte que en eso estás muy errado.

Y ahora me detengo en señalarte a ti ya que eres tan metido en inglés y en el español como lo has estado dando cátedra estos días... ¿Cómo carajos se te ocurre decir cifrado a algo que no lo es si en verdad no era tu intención llamarlo así? Si hubieras expuesto comillas a la palabra, al menos así se valdría y se entendería que no necesariamente te referías exactamente a un cifrado sino a otra cosas algo "similar". Oh... mira, usé comillas... seguramente las conoces y saben para que son.

Saludos,

[ElMug]

Hola Delphius,

Creo que te andas pasando de la raya en tus juicios y te haces eso que te precipites en fallas.

1. En primer lugar, basicamente toda esta tecnologia esta definida en Ingles, y hasta tu mismo admites que no hay palabras apropiadas para algunos terminos en Español

2. Aplicar el resultado de un proceso MD5, por ejemplo, para mi es "Encryption" y yo la traduzco como cifrar. Antes use "encriptar" pero luego vi que esa palabra no existe en el diccionario de la Real Academia Española. En cambio la palabra "cifrar" si existe. Esto lo menciono porque traes como arma de ataque "el uso del diccionario".

3. Los procesos como el MD4, el MD5, los SHA, y sus derivados, en Ingles siguen siendo "encryption algorithms". Y si tu no les puede poner nombre en Español, pues para mi siguen siendo "cifrar".

4. Son algoritmos de "one way", o sea que no hay desde principio "anti-algoritmo", o sea algoritmo de revertir. Mas eso no les quita que sigan siendo "encryption" o "cifrar". Y aunque veo que NO TE PARECE el nombre, veo tambien que NO TIENES alternativa. Es por eso que sinceramente no comprendo tu afan en el argumento.

5. Ahora en cuanto a los errado de tus argumentos, uno de ellos es el que "No se cifran" y argulles que de lo contrario se podria averiguar el password de los usuarios, aunque admites que puede tardar 50 años. Pues bien, fijate que ESA no es la razon por la que se usa el "hashing". La principal razon es porque los algoritmos bi-direccionales son mucho mas lentos que los de tipo "hashing", y tambien usan mas recursos de memoria y CPU. Claro que esto es fundamento historico, pero tu argumento de que con ellos nadie puede saber el password, yo te digo que, actualmente, es mucho mas facil violar un MD5 que un algoritmo de dos vias.

6. Linux, hasta donde se, por ejemplo ya no usa el MD5, pues deberias de saber que simplemente con poner en google el resultado de un hash, es alta la posibilidad de que saque una frase que de ese hash. Y es que hay diccionarios con BILLONES de hashes, disponibles a quien sea que facilitan eso. Claro que el logro se relaciona con lo complejo de el password usado.

7. Aparte, que esta demostrado que por ejemplo para el MD5, hay mas de UNA frase que de como resultado el mismo MD5. Eso ya esta verificado, al grado que el MD5 se considera inapropiado para uso en passwords, y ningun sistema de reputacion lo usa para cifrar passwords ("encriptar" o lo que gusteis llamarle). A eso se le llaman (en Ingles) "Collitions", y creo que serian "coliciones" o "choques", mas no porque no haya el termino (en Español), ya ande uno errado en lo tecnico.

La verdad es que ahorita me gustaria saber de donde sacaste eso de que "no se cifran" los passwords (entendiendo que te refieres a que en exclusiva, se use hashing), y especialmente LAS RAZONES, que lo justifiquen, y no me refiero a la tradicion.

Si crees que "hashing" es de alguna manera "superior" a un algoritmo de dos vias, pues explicate el por que.

Ahora, a falta de terminos, para traducir el cifrado en base de "hashing" o algoritmos uni-direccionales, pues hay varias, y no "picar" como se ha sugerido.

"Comprimir" o "Digerir", diria que serian mucho mas adecuados.

[[Delphius]]

Cita:

Empezado por ElMug

Hola Delphius,

Creo que te andas pasando de la raya en tus juicios y te haces eso que te precipites en fallas.

No me he pasado en mis juicios pero ahora si lo haré: simplemente estoy demostrando a un completísimo ignorante que no le ha gustado nunca las respuestas que le dieron desde el momento en que llegó. Y pretendía que se le diera hasta el ABC de algunas preguntas. Y que luego pretendía tirar mierda a los que se ofrecieron ayudarlo en un principio porque no les gustaron las soluciones y propuestas que se le fueron dando.
¿Fallas? Por favor... ¡Dame una!

Cita:

Empezado por ElMug

1. En primer lugar, basicamente toda esta tecnologia esta definida en Ingles, y hasta tu mismo admites que no hay palabras apropiadas para algunos terminos en Español

Que no exista palabra en español no amerita emplear MAL un término proveniente del inglés.

Cita:

Empezado por ElMug

2. Aplicar el resultado de un proceso MD5, por ejemplo, para mi es "Encryption" y yo la traduzco como cifrar. Antes use "encriptar" pero luego vi que esa palabra no existe en el diccionario de la Real Academia Española. En cambio la palabra "cifrar" si existe. Esto lo menciono porque traes como arma de ataque "el uso del diccionario".

Pues serás el único burro que llama cifrado a algo que no lo es.
Aquí estás demostrando tu confusión y falta de conocimiento sobre el área y de una errónea interpretación del inglés. Pasaré a demostrar más adelante.

Cita:

Empezado por ElMug

3. Los procesos como el MD4, el MD5, los SHA, y sus derivados, en Ingles siguen siendo "encryption algorithms". Y si tu no les puede poner nombre en Español, pues para mi siguen siendo "cifrar".

4. Son algoritmos de "one way", o sea que no hay desde principio "anti-algoritmo", o sea algoritmo de revertir. Mas eso no les quita que sigan siendo "encryption" o "cifrar". Y aunque veo que NO TE PARECE el nombre, veo tambien que NO TIENES alternativa. Es por eso que sinceramente no comprendo tu afan en el argumento.

¡Bestia! Que no pertenecen a algoritmos de cifrado. Si debieramos ser exactos, los algoritmos como MDx y SHA-x pertenecen a lo que se conoce como cryptographic hash function, que son estudiados por la criptografía. Lo que tu estás confundiendo y asumiendo es justamente que por tener la misma raiz "crypto", todo es en última un cifrado.
La ciencia es criptografía, y muchos confunden justamente por querer traer los términos casi literalmente al español que se dice encriptar/desencriptar. Tenemos la palabra en español adecuada: cifrar.
La criptografía, no sólo se queda en los algoritmos de cifrado sino que además se dedica a otros algoritmos diseñados para otras cosas. Entre ellos, están los algoritmos de funciones criptográficas basadas en tablas hash que generan claves de reducción que las asocia.
Entonces, no son algoritmos de cifrado, son algoritmos de criptografía. ¿Ves y entiendes la diferencia en las palabras?
No me vengas a que por falta de un nombre hay que escudarse... si no hay un término búscalo explicarlo de otra forma... aunque tengas que gastar más saliva. A veces empleamos el puro inglés porque nos resulta más breve y nos hacemos vagos en decir unas cuantas letras o palabras más.

A vos lo que te molesta es que haya demostrado tu error y no quieres admitirlo.

Cita:

Empezado por ElMug

5. Ahora en cuanto a los errado de tus argumentos, uno de ellos es el que "No se cifran" y argulles que de lo contrario se podria averiguar el password de los usuarios, aunque admites que puede tardar 50 años. Pues bien, fijate que ESA no es la razon por la que se usa el "hashing". La principal razon es porque los algoritmos bi-direccionales son mucho mas lentos que los de tipo "hashing", y tambien usan mas recursos de memoria y CPU. Claro que esto es fundamento historico, pero tu argumento de que con ellos nadie puede saber el password, yo te digo que, actualmente, es mucho mas facil violar un MD5 que un algoritmo de dos vias.

Te invito a volver a leer desde el comienzo.
Se ha dejado en claro que los motivos de porqué no se emplean los algoritmos de cifrado son varios, aunque se pueden encontrar 2 principales motivos:
1) Son reversibles, y no interesa si es de ahora o dentro de varios años. El punto es que son reversibles.
2) NUNCA fueron pensados ni diseñados para almacenar contraseñas.

Eso de que consumen más recursos y son más lentos es de menos, efecto colateral y algo secundario.
El punto es que los algoritmos de cifrado no han sido planteados ni sugeridos para almacenar información como la de una contraseña sino para poder compartir datos de una forma más segura.
¿O acaso te pondrás a compartir tu contraseña con alguien?

No se discute que los algoritmos de reducción sean inviolables. De hecho yo mismo he dicho que incluso éstos pueden fallar. Pero al menos a nivel teórico y hasta cierto punto práctico los algoritmos de reducción son la vía pensada y más segura de entre sus usos: poder asociar e identificar una contraseña sin almacenarla como tal.

Cita:

Empezado por ElMug

6. Linux, hasta donde se, por ejemplo ya no usa el MD5, pues deberias de saber que simplemente con poner en google el resultado de un hash, es alta la posibilidad de que saque una frase que de ese hash. Y es que hay diccionarios con BILLONES de hashes, disponibles a quien sea que facilitan eso. Claro que el logro se relaciona con lo complejo de el password usado.

7. Aparte, que esta demostrado que por ejemplo para el MD5, hay mas de UNA frase que de como resultado el mismo MD5. Eso ya esta verificado, al grado que el MD5 se considera inapropiado para uso en passwords, y ningun sistema de reputacion lo usa para cifrar passwords ("encriptar" o lo que gusteis llamarle). A eso se le llaman (en Ingles) "Collitions", y creo que serian "coliciones" o "choques", mas no porque no haya el termino (en Español), ya ande uno errado en lo tecnico.

Si lees bien mis mensajes te enterarías que emplee el término: cómo. De hecho yo he dicho que se emplean algoritmo de reducción como MD5; lo que da por sentado que no es el único ni necesariamente he dicho que sea el mejor. Lo mencioné porque a pesar de que se le ha encontrado fallas, sigue siendo empleado para algunas cosas, es el más conocido y el que figura como ejemplo.

Hay otros más robustos, como el SHA que mencionas.
Que el que un grupo de personas se hayan dedicado a generar MD5/SHA farms es algo extra fuera de discusión... No se puede culpar a la sociedad de criptografía porque hecha la ley hecha la trampa. Es lo que hay... No necesariamente porque existan esos sitios hacen que tantos años de estudio y de propuestas deban estar tirados a la basura.
Si hay que preocuparse, pero tampoco es para decir que ahora son muy inseguros y debamos desecharlos y no usarlos... Eso tampoco es pretexto como para asegurar y justificar que va a resultar mejor aplicar un cifrado que un algoritmo de reducción.

Naturalmente tanto a los algoritmos de cifrado y reducción hay que ir cambiándolos y mejorándolos. Lo hacemos porque cada vez las máquinas son más veloces, y hay más recursos que les permiten ir explotandolos. Por ejemplo, con lo que pasó con SHA-1, se le encontró una falla en su matemática pero no ha sido hasta hace relativamente poco que se la ha podido explotar. Y aún así no cualquiera lo puede hacer... porque no todos tienen esos semerendos equipos. Hoy tenemos SHA2 y es el que se recomienda, y vendrá el día en que a este también lo tendremos que cambiar.
Los algoritmos de cifrado tampoco son de lo más efectivos... incluso para los más efectivos. Tomemos por ejemplo el gran famoso AES, que se dice que es uno de los campeones. ¿Sabías que se le ha encontrado una falla a su AES256? Si... se está en duda de su seguridad... incluso hay quienes están en condiciones de demostrar que AES128 es más seguro que su 256... cuando lo lógico y de esperar es que a mayor tamaño más seguridad.

Yo he dicho que después de todo el objetivo detrás de la criptografía es el última el de ofrecer los medios más seguros y dificultar lo más posible a un atacante. Naturalmente que el en verdad quiera hacerse de alguna información, tarde o temprano lo hará si tiene el conocimiento y los recursos. La idea en que se basan todos los algoritmos que se van proponiendo es que para cuando el atacante esté próximo a su objetivo, ya exista algo más seguro y la tecnología haya migrado y la información ya no tenga el valor que inicialmente tuvo.

Cita:

Empezado por ElMug

La verdad es que ahorita me gustaria saber de donde sacaste eso de que "no se cifran" los passwords (entendiendo que te refieres a que en exclusiva, se use hashing), y especialmente LAS RAZONES, que lo justifiquen, y no me refiero a la tradicion.

Si crees que "hashing" es de alguna manera "superior" a un algoritmo de dos vias, pues explicate el por que.

Yo creo que con lo ya dicho es suficiente como para cerrarte el pico. Pero si es necesario empieza a hacer búsquedas y encontrarás material que ilustra bien porqué es que se utliza algoritmos de reducción o ya que estoy de ganas, para decirlo más clarito: algoritmos de criptográficos basados en tablas hash.

Cita:

Empezado por ElMug

Ahora, a falta de terminos, para traducir el cifrado en base de "hashing" o algoritmos uni-direccionales, pues hay varias, y no "picar" como se ha sugerido.

"Comprimir" o "Digerir", diria que serian mucho mas adecuados.

Y si hay un modo, aunque no suena tan elegante como su contraparte inglesa, de decirlo ¿porqué no decirlo? ¿Tienas paja o vagancia? ¿Te cuesta mucha saliva? Es lo que hay... asi es nuestro idioma. Tenemos palabras muuuuy largas. Que se le va a hacer. Pero no por esto se debería decir tan limpiamente cifrado a algo que no lo es.

Ya te he demostrado que es un error tuyo. Ahora haz el favor de corregirte y empezar a hacer un esfuerzo por decir las cosas de un mejor modo. Termina con tu propia intención de seguir llamando cifrado a algo que no lo es. Si los demás, y no sólo yo, opinamos lo mismo! Fíjate que Casimiro, mightydragonlor han también comentado al respecto y de una u otra forma también están diciendo que las passwords no se cifran.
La verdad es que eres el único tonto del hilo en que lo ha dicho.
Y no somos los únicos que lo decimos... busca en la red y encontrarás a muchos especialistas que pueden argumentar mejor que cualquiera de nosotros que el porque no se ha de cifrar.

Utilizamos lo que hay. Y hemos dicho que tampoco es que no sean inviolable... pero es lo mejor al menos, hasta donde llegan nuestros conocimiento y lo que se ha venido publicando por los especialistas.

Saludos,

[ElMug]

Cita:

Empezado por Delphius

No me he pasado en mis juicios pero ahora si lo haré: simplemente estoy demostrando a un completísimo ignorante que no le ha gustado nunca las respuestas que le dieron desde el momento en que llegó. Y pretendía que se le diera hasta el ABC de algunas preguntas. Y que luego pretendía tirar mierda a los que se ofrecieron ayudarlo en un principio porque no les gustaron las soluciones y propuestas que se le fueron dando.
¿Fallas? Por favor... ¡Dame una!


Que no exista palabra en español no amerita emplear MAL un término proveniente del inglés.


Pues serás el único burro que llama cifrado a algo que no lo es.
Aquí estás demostrando tu confusión y falta de conocimiento sobre el área y de una errónea interpretación del inglés. Pasaré a demostrar más adelante.


¡Bestia! Que no pertenecen a algoritmos de cifrado. Si debieramos ser exactos, los algoritmos como MDx y SHA-x pertenecen a lo que se conoce como cryptographic hash function, que son estudiados por la criptografía. Lo que tu estás confundiendo y asumiendo es justamente que por tener la misma raiz "crypto", todo es en última un cifrado.
La ciencia es criptografía, y muchos confunden justamente por querer traer los términos casi literalmente al español que se dice encriptar/desencriptar. Tenemos la palabra en español adecuada: cifrar.
La criptografía, no sólo se queda en los algoritmos de cifrado sino que además se dedica a otros algoritmos diseñados para otras cosas. Entre ellos, están los algoritmos de funciones criptográficas basadas en tablas hash que generan claves de reducción que las asocia.
Entonces, no son algoritmos de cifrado, son algoritmos de criptografía. ¿Ves y entiendes la diferencia en las palabras?
No me vengas a que por falta de un nombre hay que escudarse... si no hay un término búscalo explicarlo de otra forma... aunque tengas que gastar más saliva. A veces empleamos el puro inglés porque nos resulta más breve y nos hacemos vagos en decir unas cuantas letras o palabras más.

A vos lo que te molesta es que haya demostrado tu error y no quieres admitirlo.


Te invito a volver a leer desde el comienzo.
Se ha dejado en claro que los motivos de porqué no se emplean los algoritmos de cifrado son varios, aunque se pueden encontrar 2 principales motivos:
1) Son reversibles, y no interesa si es de ahora o dentro de varios años. El punto es que son reversibles.
2) NUNCA fueron pensados ni diseñados para almacenar contraseñas.

Eso de que consumen más recursos y son más lentos es de menos, efecto colateral y algo secundario.
El punto es que los algoritmos de cifrado no han sido planteados ni sugeridos para almacenar información como la de una contraseña sino para poder compartir datos de una forma más segura.
¿O acaso te pondrás a compartir tu contraseña con alguien?

No se discute que los algoritmos de reducción sean inviolables. De hecho yo mismo he dicho que incluso éstos pueden fallar. Pero al menos a nivel teórico y hasta cierto punto práctico los algoritmos de reducción son la vía pensada y más segura de entre sus usos: poder asociar e identificar una contraseña sin almacenarla como tal.


Si lees bien mis mensajes te enterarías que emplee el término: cómo. De hecho yo he dicho que se emplean algoritmo de reducción como MD5; lo que da por sentado que no es el único ni necesariamente he dicho que sea el mejor. Lo mencioné porque a pesar de que se le ha encontrado fallas, sigue siendo empleado para algunas cosas, es el más conocido y el que figura como ejemplo.

Hay otros más robustos, como el SHA que mencionas.
Que el que un grupo de personas se hayan dedicado a generar MD5/SHA farms es algo extra fuera de discusión... No se puede culpar a la sociedad de criptografía porque hecha la ley hecha la trampa. Es lo que hay... No necesariamente porque existan esos sitios hacen que tantos años de estudio y de propuestas deban estar tirados a la basura.
Si hay que preocuparse, pero tampoco es para decir que ahora son muy inseguros y debamos desecharlos y no usarlos... Eso tampoco es pretexto como para asegurar y justificar que va a resultar mejor aplicar un cifrado que un algoritmo de reducción.

Naturalmente tanto a los algoritmos de cifrado y reducción hay que ir cambiándolos y mejorándolos. Lo hacemos porque cada vez las máquinas son más veloces, y hay más recursos que les permiten ir explotandolos. Por ejemplo, con lo que pasó con SHA-1, se le encontró una falla en su matemática pero no ha sido hasta hace relativamente poco que se la ha podido explotar. Y aún así no cualquiera lo puede hacer... porque no todos tienen esos semerendos equipos. Hoy tenemos SHA2 y es el que se recomienda, y vendrá el día en que a este también lo tendremos que cambiar.
Los algoritmos de cifrado tampoco son de lo más efectivos... incluso para los más efectivos. Tomemos por ejemplo el gran famoso AES, que se dice que es uno de los campeones. ¿Sabías que se le ha encontrado una falla a su AES256? Si... se está en duda de su seguridad... incluso hay quienes están en condiciones de demostrar que AES128 es más seguro que su 256... cuando lo lógico y de esperar es que a mayor tamaño más seguridad.

Yo he dicho que después de todo el objetivo detrás de la criptografía es el última el de ofrecer los medios más seguros y dificultar lo más posible a un atacante. Naturalmente que el en verdad quiera hacerse de alguna información, tarde o temprano lo hará si tiene el conocimiento y los recursos. La idea en que se basan todos los algoritmos que se van proponiendo es que para cuando el atacante esté próximo a su objetivo, ya exista algo más seguro y la tecnología haya migrado y la información ya no tenga el valor que inicialmente tuvo.


Yo creo que con lo ya dicho es suficiente como para cerrarte el pico. Pero si es necesario empieza a hacer búsquedas y encontrarás material que ilustra bien porqué es que se utliza algoritmos de reducción o ya que estoy de ganas, para decirlo más clarito: algoritmos de criptográficos basados en tablas hash.


Y si hay un modo, aunque no suena tan elegante como su contraparte inglesa, de decirlo ¿porqué no decirlo? ¿Tienas paja o vagancia? ¿Te cuesta mucha saliva? Es lo que hay... asi es nuestro idioma. Tenemos palabras muuuuy largas. Que se le va a hacer. Pero no por esto se debería decir tan limpiamente cifrado a algo que no lo es.

Ya te he demostrado que es un error tuyo. Ahora haz el favor de corregirte y empezar a hacer un esfuerzo por decir las cosas de un mejor modo. Termina con tu propia intención de seguir llamando cifrado a algo que no lo es. Si los demás, y no sólo yo, opinamos lo mismo! Fíjate que Casimiro, mightydragonlor han también comentado al respecto y de una u otra forma también están diciendo que las passwords no se cifran.
La verdad es que eres el único tonto del hilo en que lo ha dicho.
Y no somos los únicos que lo decimos... busca en la red y encontrarás a muchos especialistas que pueden argumentar mejor que cualquiera de nosotros que el porque no se ha de cifrar.

Utilizamos lo que hay. Y hemos dicho que tampoco es que no sean inviolable... pero es lo mejor al menos, hasta donde llegan nuestros conocimiento y lo que se ha venido publicando por los especialistas.

Saludos,

No lo lei. Lo siento. Pues de reojo se ve que se trata de insultos personales, que de ti no me merezco.

[[Delphius]]

Cita:

Empezado por ElMug

No lo lei. Lo siento. Pues de reojo se ve que se trata de insultos personales, que de ti no me merezco.

¿Pues para que vas a pedir explicaciones si no pretendes leer? Tu has venido empezando, tu tiraste la primera piedra hace ya tiempo y cuando alguien te explica algo te escondes y empiezas a la defensiva.
Si tu no quieres leer, entonces no pidas que te lo expliquen. Y la verdad no se entiende para que pides que te lo expliquen si en verdad desde que llegaste tienes explicaciones para todos y has tratado de meter cizaña en cada uno de tus post.
Si te quedas en lo de reojo... pues de ahora en adelante entonces yo me voy a quedar y empezar a leer de reojo lo que digas y cualquiera de tus palabras.

Desde el primer post que expusiste en el foro que decidiste atacar a los que te han respondido. Ahora no soportas que yo haya decidido darle combate a tu combate.
No es asunto de algo personal, es cosa de hacerte mostrar justamente que la forma en como comenzaste y decidiste continuar en ClubDelphi no es favorable.

Y si aún no deseas leer lo que dije y te quedas en alguna que otra palabra que tampoco llega a ser un gravísimo insulto. Después de todo todos tenemos de completísimo ignorante, somos burros y tontos... por ejemplo me considero un completo bestia para lo que es conducir un auto. Y lo que he dicho es bastante suave para lo que en otros hilos se dice.

Anti-saludos, Para entendidos.

[Casimiro Notevi]

Por favor, los debates están muy bien, cada uno argumenta lo que piensa, expone sus ideas y la otra persona hace lo mismo.
Así aprendemos todos. Nadie es perfecto, nadie lo sabe todo, muchas veces pensamos que estamos en lo cierto sobre un tema y después de leer/escuchar a alguien nos damos cuenta de que estamos equivocados... eso es aprender.
Repito, debates... sí. Pero los insultos sobran.
Gracias.

[[Delphius]]

Cita:

Empezado por Casimiro Notevi

Por favor, los debates están muy bien, cada uno argumenta lo que piensa, expone sus ideas y la otra persona hace lo mismo.
Así aprendemos todos. Nadie es perfecto, nadie lo sabe todo, muchas veces pensamos que estamos en lo cierto sobre un tema y después de leer/escuchar a alguien nos damos cuenta de que estamos equivocados... eso es aprender.
Repito, debates... sí. Pero los insultos sobran.
Gracias.

¿Cómo se le dice a una persona que le explicas muchas veces algo y no le entra por su tozudez?
Yo simplemente expuse la verdad, todos somos bestias, todos somos ignorantes, todos somos tontos... en algo. Después de todo como dijeste nadie es perfecto.
Pero el punto es que se ha demostrado aquí que cierta persona insiste en su ignorancia e intenta defender lo indefendible. No sabe distiguir lo que es cifrado de lo que no es.

Yo tampoco sabía lo que era un MD5 o un SHA pero con el tiempo aprendí a reconocer que es cada cosa. Y eso me bastó para saber que si bien todo esto se enseña y se forma en una ciencia propia, llamada criptografía, ésta no se resume a exclusivamente algoritmos de cifrado.
Está a la vista que ElMug sabe la diferencia, o lo buscó del momento, de un algoritmo de cifrado y otro de reducción o función hash criptográfica. Pero en su mente, erróneamente y que no quiere admitir, se le da por catalogar y llamar a ambos como algoritmos de cifrado. Todo producto de un error conceptal derivado de un mal uso de las palabras inglesas de raíz "crytpo".

Si después de mis palabras el sigue en la misma negativa lo único que estará demostrando es que justamente no tiene el mero interés por corregirse y aprender algo más que le puede dar algo de valor profesional. Y si parece brava mi forma, revísese el historial de los mensajes de ElMug y diganme si estoy equivocado.

Saludos,

[Neftali [Germán.Estévez]]

Delphius, creo que "determinadas" palabras e insultos en tu respuesta están totalmente fuera de lugar.
Para ti y para cualquier otro usuario, tengo 5, 500 o 50000 mensajes.