From: | Alvaro Herrera <alvherre(at)alvh(dot)no-ip(dot)org> |
---|---|
To: | Jordi Molina <warp3r(at)gmail(dot)com> |
Cc: | Juan Martínez <jeugenio(at)umcervantes(dot)cl>, lista postrges <pgsql-es-ayuda(at)postgresql(dot)org> |
Subject: | Re: [Fwd: Re: CLAVES EN POSTGRES] |
Date: | 2008-10-01 13:55:19 |
Message-ID: | 20081001135519.GA3878@alvh.no-ip.org |
Views: | Raw Message | Whole Thread | Download mbox | Resend email |
Thread: | |
Lists: | pgsql-es-ayuda |
Jordi Molina escribió:
> Una mezcla de crypt + la función que quiere hacer Franz es la
> solución, muchos CMS ya usan esta técnica para almacenar contraseñas.
>
> una función f(x) , donde x es la contraseña, retorna y, que es la
> password + una transformación, si queremos que la transformación
> canvie pues podriamos, por ejemplo, hacer una funcion g(x,y), donde x
> sea el password, y y un timestamp, esta función retornaria Z en base
> al password y al timestamp.
>
> El timestamp podria ser, por ejemplo, el momento de registro del
> usuario. A través de este timestamp se podria generar una cadena de
> carácteres para hacer append o prepend al password, y luego hacer el
> crypt() de la cadena resultante.
Esta es una técnica muy común; generalmente lo que se hace es tomar un
string aleatorio (la "sal") y agregarlo a la password antes de hacer el
"digest".
En todo caso lo único que se me ocurre en este momento es que cualquier
sistema criptográfico diseñado por aficionados está condenado a fallar
en cuanto un experto le echa una mirada.
--
Alvaro Herrera http://www.amazon.com/gp/registry/DXLWNGRJD34J
"La victoria es para quien se atreve a estar solo"
From | Date | Subject | |
---|---|---|---|
Next Message | Jordi Molina | 2008-10-01 13:59:48 | Re: [Fwd: Re: CLAVES EN POSTGRES] |
Previous Message | Ernesto Lozano | 2008-10-01 13:16:52 | Re: Re: [pgsql-es-ayuda] Re: [pgsql-es-ayuda] Encuesta para análisis para el proyecto de creación de una certificación para PostgreSQL |