Re: [Fwd: Re: CLAVES EN POSTGRES]

Saludos,

On Tue, Sep 30, 2008 at 1:20 AM, Juan Martínez <jeugenio(at)umcervantes(dot)cl> wrote:
>
> Creo que urgentemente, y lo antes posible, uses un algoritmo de
> encriptacion, como por ejemplo crypt(), que existe hasta en PHP.
>

no hace mucho en una conferencia de hacking se hablo del tema similar
al que propone Franz, y surgió una respuesta como la de Juan.

La función crypt, más que un crypt lo que hace es un hash, si tienes
tus contraseñas hasheadas, el romperlas una vez obtenida la db es tan
facil como hashear cadenas de la longitud del varchar y compararlas
contra lo almacenado. Por lo tanto un simple crypt _tampoco_ asegura
que las contraseñas esten protegidas.

De hecho ya existen diccionarios hasheados para desvelar contraseñas.

Una mezcla de crypt + la función que quiere hacer Franz es la
solución, muchos CMS ya usan esta técnica para almacenar contraseñas.

una función f(x) , donde x es la contraseña, retorna y, que es la
password + una transformación, si queremos que la transformación
canvie pues podriamos, por ejemplo, hacer una funcion g(x,y), donde x
sea el password, y y un timestamp, esta función retornaria Z en base
al password y al timestamp.

El timestamp podria ser, por ejemplo, el momento de registro del
usuario. A través de este timestamp se podria generar una cadena de
carácteres para hacer append o prepend al password, y luego hacer el
crypt() de la cadena resultante.

Asi cada usuario tendria una cadena diferente de "enmascaramiento" del password.

salu2

--
Jordi Molina Casas (warp3r)
mail: warp3r(at)gmail(dot)com 4BC8 8150 7B1A FC24 FBAD 7B07 FE90 F300 4F36 3BF7
mail: warp3r(at)2shifted(dot)com 2F91 EF95 229E FC31 18C0 05C3 B320 22DA 8C03 F33E
www: www.warp3r.com (personal blog) sysadmin.warp3r.com (sysadmin related site)
openid: https://openid.warp3r.com/?user=warp3r