Re: passwords encriptados

Justamente la idea de que md5 no se puede desencriptar es por lo que se usa para almacenar passwords, ya que por mas que alguien consiga el acceso a los datos del usuario, no obtendría el password.
La pregunta es para que necesitas desencriptar el password?? veamos las posibles situaciones.

1- Nuevo usuario (ya lo tenes hecho): el tipo ingresa un password y vos lo encriptas y lo guardas como md5.

2- Login de usuario: El tipo ingresa su password, vos lo encriptas y lo comparas con el encriptado de la base de datos.

3- Cambio de contraseña, el tipo ingresa la contraseña anterior, y la nueva y encriptas las 2 comparas la contraseña anterior encriptada con la contraseña encriptada que tenes en la base de datos, si es igual, almacenas la nueva contraseña encriptada. En ningún momento tenés la necesidad de mostrar la contraseña desencriptada.

4- Modificacion de datos del usuario: La modificación de datos, no debería permitir modificar el password, se debería hacer en un modulito aparte que solo se dedique a eso y implementado como dice el punto 3.

5- El tipo se olvida la contraseña y quiere recuperarla: bueno, aca hay que elegir como manejarlo si es que queres dar este servicio. El punto es que NO la va a recuperar ya que no se puede desencriptar. Las opciones son: a) Generar una nueva aleatoria, enviarsela por mail, encriptarla y almacenarla encriptada. b) (Como hace Hotmail) a través de alguna previa validación (tipo una pregunta secreta o algo por el estilo) validas que el tipo sea el que dice que es y lo dejas ingresar una nueva contraseña.

Ahora, si es sumamente necesario que el tipo pueda recuperar su contraseña, tendrias que usar algun algoritmo que sea reversible.
A mi personalmente me gusta más el modelo usando MD5.

Saludos

--------------------------------------------------------------------------------

Leonel Quinteros
O.S.P.S.I.P.
leonelq(at)ospsip(dot)org(dot)ar
www.ospsip.org.ar

--------------------------------------------------------------------------------

----- Original Message -----
From: Betto McRose G,
To: Grupos PostgreSQL ES
Sent: Friday, April 22, 2005 12:51 PM
Subject: Re: [pgsql-es-ayuda] passwords encriptados

1) tengo un formulario donde cargo usuarios que acceden al sistema
2) cada uno de ellos tiene una 'cuenta' y una 'contraseña'
3) al darle de alta a un usuario, no tiene problemas
4) al modificar los datos de un usario, en el campo contraseña me trae:
en vez de "suegra" este chorizo: "fa34rsdcvasdf$" (que sería suegra encriptado)

el tema sería la mejor manera de tratar la modificación de contraseñas, ya que tengo entendido de que md5() no permite desencriptar, o alguna otra función que me permita hacer esto.

se entiende ahora ?

----- Original Message -----
From: "Leonel Nunez" <lnunez(at)enelserver(dot)com>
To: "Betto McRose G," <betto(at)tecnomyl(dot)com(dot)py>
Cc: "Grupos PostgreSQL ES" <pgsql-es-ayuda(at)postgresql(dot)org>; "Grupos Desarrollo PHP" <DesarrolloPHPHypertextPreprocessor(at)gruposyahoo(dot)com>
Sent: Friday, April 22, 2005 11: 36 AM
Subject: Re: [pgsql-es-ayuda] passwords encriptados

> Betto McRose G, wrote:
>
> > básicamente en postgres 8
> >
> > guando las contraseñas de esta manera: md5('suegra')
> >
> > pero al modificar la tabla me trae el chorizo encriptado.
> >
> > cual es el mejor método para este tipo de casos?
> >
> > Betto McRose G,
> > Dpto. Informático
> > TECNOMYL S.R.L.
>
>
>
>
> primero explicarnos bien eso de al modificar te trae un chorizo encriptado
>
> lo que entiendo es que vez el md5 de la cadena
>
> en todo caso tendras que comparar con :
>
> select * from tabla where password = md5("cadena");
>
> LEonel
>
>
>