Saludos, On Tue, Sep 30, 2008 at 1:20 AM, Juan Martínez <[EMAIL PROTECTED]> wrote: > > Creo que urgentemente, y lo antes posible, uses un algoritmo de > encriptacion, como por ejemplo crypt(), que existe hasta en PHP. >
no hace mucho en una conferencia de hacking se hablo del tema similar al que propone Franz, y surgió una respuesta como la de Juan. La función crypt, más que un crypt lo que hace es un hash, si tienes tus contraseñas hasheadas, el romperlas una vez obtenida la db es tan facil como hashear cadenas de la longitud del varchar y compararlas contra lo almacenado. Por lo tanto un simple crypt _tampoco_ asegura que las contraseñas esten protegidas. De hecho ya existen diccionarios hasheados para desvelar contraseñas. Una mezcla de crypt + la función que quiere hacer Franz es la solución, muchos CMS ya usan esta técnica para almacenar contraseñas. una función f(x) , donde x es la contraseña, retorna y, que es la password + una transformación, si queremos que la transformación canvie pues podriamos, por ejemplo, hacer una funcion g(x,y), donde x sea el password, y y un timestamp, esta función retornaria Z en base al password y al timestamp. El timestamp podria ser, por ejemplo, el momento de registro del usuario. A través de este timestamp se podria generar una cadena de carácteres para hacer append o prepend al password, y luego hacer el crypt() de la cadena resultante. Asi cada usuario tendria una cadena diferente de "enmascaramiento" del password. salu2 -- Jordi Molina Casas (warp3r) mail: [EMAIL PROTECTED] 4BC8 8150 7B1A FC24 FBAD 7B07 FE90 F300 4F36 3BF7 mail: [EMAIL PROTECTED] 2F91 EF95 229E FC31 18C0 05C3 B320 22DA 8C03 F33E www: www.warp3r.com (personal blog) sysadmin.warp3r.com (sysadmin related site) openid: https://openid.warp3r.com/?user=warp3r -- TIP 1: para suscribirte y desuscribirte, visita http://archives.postgresql.org/pgsql-es-ayuda
