| From: | "Raul Andres Duque" <ra_duque(at)yahoo(dot)com(dot)mx> |
|---|---|
| To: | "Jordi Molina" <warp3r(at)gmail(dot)com>, Juan Martínez <jeugenio(at)umcervantes(dot)cl> |
| Cc: | "lista postrges" <pgsql-es-ayuda(at)postgresql(dot)org> |
| Subject: | Re: [Fwd: Re: CLAVES EN POSTGRES] |
| Date: | 2008-10-01 14:35:06 |
| Message-ID: | 006401c923d2$e605e4a0$4100a8c0@amadeus.net.co |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
----- Original Message -----
From: "Jordi Molina" <warp3r(at)gmail(dot)com>
To: "Juan Martínez" <jeugenio(at)umcervantes(dot)cl>
Cc: "lista postrges" <pgsql-es-ayuda(at)postgresql(dot)org>
Sent: Wednesday, October 01, 2008 5:50 AM
Subject: Re: [Fwd: Re: [pgsql-es-ayuda] CLAVES EN POSTGRES]
> Saludos,
>
> On Tue, Sep 30, 2008 at 1:20 AM, Juan Martínez <jeugenio(at)umcervantes(dot)cl>
> wrote:
>>
>> Creo que urgentemente, y lo antes posible, uses un algoritmo de
>> encriptacion, como por ejemplo crypt(), que existe hasta en PHP.
>>
>
> no hace mucho en una conferencia de hacking se hablo del tema similar
> al que propone Franz, y surgió una respuesta como la de Juan.
>
> La función crypt, más que un crypt lo que hace es un hash, si tienes
> tus contraseñas hasheadas, el romperlas una vez obtenida la db es tan
> facil como hashear cadenas de la longitud del varchar y compararlas
> contra lo almacenado. Por lo tanto un simple crypt _tampoco_ asegura
> que las contraseñas esten protegidas.
>
> De hecho ya existen diccionarios hasheados para desvelar contraseñas.
>
> Una mezcla de crypt + la función que quiere hacer Franz es la
> solución, muchos CMS ya usan esta técnica para almacenar contraseñas.
>
> una función f(x) , donde x es la contraseña, retorna y, que es la
> password + una transformación, si queremos que la transformación
> canvie pues podriamos, por ejemplo, hacer una funcion g(x,y), donde x
> sea el password, y y un timestamp, esta función retornaria Z en base
> al password y al timestamp.
>
> El timestamp podria ser, por ejemplo, el momento de registro del
> usuario. A través de este timestamp se podria generar una cadena de
> carácteres para hacer append o prepend al password, y luego hacer el
> crypt() de la cadena resultante.
>
> Asi cada usuario tendria una cadena diferente de "enmascaramiento" del
> password.
>
Algo que acostumbro es "amarrar" el password con el login, con eso si copian
un hash/password de usuario y lo pegan en otro usuario (en la DB) no va a
pasar. Claro que esto implica que si tu sistema permite cambiar el login se
obligue a ingresar un nuevo password.
Atentamente,
RAUL DUQUE
Bogotá, Colombia
>
>
>
> salu2
>
> --
> Jordi Molina Casas (warp3r)
> mail: warp3r(at)gmail(dot)com 4BC8 8150 7B1A FC24 FBAD 7B07 FE90 F300 4F36 3BF7
> mail: warp3r(at)2shifted(dot)com 2F91 EF95 229E FC31 18C0 05C3 B320 22DA 8C03
> F33E
> www: www.warp3r.com (personal blog) sysadmin.warp3r.com (sysadmin related
> site)
> openid: https://openid.warp3r.com/?user=warp3r
> --
> TIP 1: para suscribirte y desuscribirte, visita
> http://archives.postgresql.org/pgsql-es-ayuda
>
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Oswaldo Hernández | 2008-10-01 15:28:26 | Re: wxwidgets libpq error de codificacion de caracteres |
| Previous Message | Marco Antonio | 2008-10-01 14:28:34 | Re: Insertar imagen tipo bytea |