Digestión de mensaje (MD5) o Encriptación?
Saludos comunidad, el motivo de éste tema es para conocer su opinión respecto a que sucede o que puedo hacer si en mi aplicación codifico los password de los usuarios con MD5 y después de un tiempo un usuario me pide que le recuerde su password, a lo que se la digestión de mensajes es irreversible, entonces que hacer? Me gustaría saber si conocen alguna solución o simplemente es mejor usar la encriptación o usar las 2 técnicas en conjunto. Gracias
- Inicie sesión o regístrese para enviar comentarios
Digestión para passwords
Está haciendo bien, los passwords de los usuarios se deben guardar no con cifrado de datos sino con una digestión, precisamente porque es irreversible y por lo tanto no es tan grave si alguien tiene acceso a esa tabla en la base de datos porque no pueden saber qué pasword tiene un usuario.
Para los usuarios que olvidan su password, lo que necesitas hacer es un mecanismo para que puedan resetearlo. Dependiendo del nivel de seguridad que quieras manejar será el mecanismo que utilices. Algunos que han cobrado cierta popularidad son:
Dependiendo de la naturaleza de tu sistema y de sus usuarios, puede haber otros esquemas como autentificación directa o por un tercero, es decir que si yo olvido mi password puedo hablar por teléfono y si me piden mucha información que puedo corroborar, me dejan reiniciar mi password. O autentificación utilizando dos medios (hablo por teléfono y si convenzo al del call center de que soy yo, entonces ya me envian ese mail con la liga para reiniciar mi password, de modo que si alguien se hace pasar por mí telefónicamente, tendría que tener acceso a mi mail para poder resetear el password). O si hay algun tipo de jerarquía de usuarios, un usuario con un nivel más alto que yo puede reiniciar mi password, esto funciona si es alguien que yo conozco personalmente y le pido que lo haga.
En fin, tienes que pensar en la opción más adecuada para tu aplicación, pensando en que no sea una inconveniencia demasiado grande para los usuarios pero a la vez que no sea demasiado fácil para un impostor hacerse pasar por un usuario y poder reiniciar su password para secuestrar su cuenta.