----- Original Message -----
From: "Jordi Molina" <[EMAIL PROTECTED]>
To: "Juan Martínez" <[EMAIL PROTECTED]>
Cc: "lista postrges" <[email protected]>
Sent: Wednesday, October 01, 2008 5:50 AM
Subject: Re: [Fwd: Re: [pgsql-es-ayuda] CLAVES EN POSTGRES]
Saludos,
On Tue, Sep 30, 2008 at 1:20 AM, Juan Martínez <[EMAIL PROTECTED]>
wrote:
Creo que urgentemente, y lo antes posible, uses un algoritmo de
encriptacion, como por ejemplo crypt(), que existe hasta en PHP.
no hace mucho en una conferencia de hacking se hablo del tema similar
al que propone Franz, y surgió una respuesta como la de Juan.
La función crypt, más que un crypt lo que hace es un hash, si tienes
tus contraseñas hasheadas, el romperlas una vez obtenida la db es tan
facil como hashear cadenas de la longitud del varchar y compararlas
contra lo almacenado. Por lo tanto un simple crypt _tampoco_ asegura
que las contraseñas esten protegidas.
De hecho ya existen diccionarios hasheados para desvelar contraseñas.
Una mezcla de crypt + la función que quiere hacer Franz es la
solución, muchos CMS ya usan esta técnica para almacenar contraseñas.
una función f(x) , donde x es la contraseña, retorna y, que es la
password + una transformación, si queremos que la transformación
canvie pues podriamos, por ejemplo, hacer una funcion g(x,y), donde x
sea el password, y y un timestamp, esta función retornaria Z en base
al password y al timestamp.
El timestamp podria ser, por ejemplo, el momento de registro del
usuario. A través de este timestamp se podria generar una cadena de
carácteres para hacer append o prepend al password, y luego hacer el
crypt() de la cadena resultante.
Asi cada usuario tendria una cadena diferente de "enmascaramiento" del
password.
Algo que acostumbro es "amarrar" el password con el login, con eso si copian
un hash/password de usuario y lo pegan en otro usuario (en la DB) no va a
pasar. Claro que esto implica que si tu sistema permite cambiar el login se
obligue a ingresar un nuevo password.
Atentamente,
RAUL DUQUE
Bogotá, Colombia
salu2
--
Jordi Molina Casas (warp3r)
mail: [EMAIL PROTECTED] 4BC8 8150 7B1A FC24 FBAD 7B07 FE90 F300 4F36 3BF7
mail: [EMAIL PROTECTED] 2F91 EF95 229E FC31 18C0 05C3 B320 22DA 8C03
F33E
www: www.warp3r.com (personal blog) sysadmin.warp3r.com (sysadmin related
site)
openid: https://openid.warp3r.com/?user=warp3r
--
TIP 1: para suscribirte y desuscribirte, visita
http://archives.postgresql.org/pgsql-es-ayuda
--
TIP 2: puedes desuscribirte de todas las listas simult�neamente
(env�a "unregister TuDirecci�nDeCorreo" a [EMAIL PROTECTED])
