Encriptación MD5

Tengo un sistema con autenticación de usuarios y la contraseña la guardo con md5. Estoy haciendo una parte para editar los usuarios y quería ver...

La FAQ Encriptación MD5 tiene

Pertenece a la categoría:
Pregunta
Tengo un sistema con autenticación de usuarios y la contraseña la guardo con md5. Estoy haciendo una parte para editar los usuarios y quería ver si puedo tomar el valor en md5 de la BBDD y "reconvertirlo" al password elegido por el usuario.
Respuesta de Sara Alvarez
La encriptación MD5 es solo en un sentido, una vez encriptada la clave no se puede desencriptar, ahí radica la seguridad de este método.




Para solucionar tu problema prueba a hacer esto:




Tienes el password guardado como md5 en tu tabla.
Pides al usuario que introduzca la contraseña antigua antes de poder modificar la nueva.
Cuando el usuario introduce su password lo convertimos a MD5 y lo comparamos con el guardado en la base de datos, si coinciden el password ingresado es correcto y puede editar sus datos.
Volver al árbol de categoríasVolver al árbol de categorías

Comentarios

Andrés Solar

07/9/2005
No soy un experto en seguridad pero he leido por ahi que el algoritmo MD5 ya ha sido hackeado. te recomiendo usar SHA1
(http://cl.php.net/manual/es/function.sha1.php) al parecer es mas seguro.

Jorge Olaya

13/9/2005
Estoy de acuerdo, el MD5 puede ser desencriptado cuando se utiliza para encriptar pequeñas porciones de datos, por ejemplo un password que por lo general no tiene más de 16 caracteres. Cuando se utiliza para encriptar grandes volúmenes de datos es bastante seguro. Existen herramientas gratuitas como CAIN que la regalan en la red Internet, que entre otras funciones se puede desencriptar MD5. En conclusión para autenticación es mejor utilizar otro método de encriptación para el envió de datos.

JORGE ABU-KALIL

17/8/2006
Para el caso de recordar una contraseña, dado que la encriptación MD5 no es reversible, lo que se tiene que hacer es determinar que el usuario sea quien pretende ser mediante la comparación del correo electronico y/o la respuesta a alguna pregunta secreta o alguna otra solución asi. Una vez determinada la identidad del usuario, se le envia a la dirección del correo una nueva password que el podrá posteriormente cambiar.

Fco Díaz

15/3/2007
Saludos.. en los temas de seguridad nunca llegaremos aun 100% de seguridad, cierto se puede "descriptar" el md5 pero este es un proces un poco lento por que hasta donde tengo entendido el md5 es un algoritmo en un solo centido, no tiene desencriptciòn, lo que se tienen son programas que decifran la cadena encriptada a fuerza brunta, esto quiere decir genera una cadena la pone en md5 y compara, si es la mima cadena en md5 te envia la cadena que genero ese md5 si no se sigue con otra cadena asì hasta encotrar una palabra que genere el mismo md5 que se esta queriendo "descriptar" (adivinar), asì que aqui esta para los que dicen que no y que si se puede, no se puede descriptar pero si se puede adivinar por lo cual el sistema tiene un tanto porciento de inseguridad, pero como todo lo unico seguro sera la muerte!, lo que recomendaria para hacer un sitio o una aplicacion mas segura es que obligues a tus usuarios a un minimo de carcteres ,8 son rasonables, tus password distingan mayusculas minusculas, y que obligues a usar letras minusculas, mayusculas y numeros a tus usuario así obligas a tener una contraseña segura que sera muy dificil o muy tardado encotrar su encriptacion., mas se me ocure encritar la cadena encriptada, se puede tomar el ultimo caracter se saca su ascii y este lo mentes en un cilco y reencirptas la cadena encriptada el numero de veces del ascci, con esto tendras una cadena muy diferente a la generada por el usuario, ya que al tratar de "desencriptar" la cadenas encotraras otra cadena de 32bits que es otra encriptacion... creo este es el metodo mas seguro y mas paranoico que se me ocurre..

ATT: Pak0s

Ulises

15/3/2007
El MD5 se utiliza para crea hash, en otras palabras, para encriptar una clave y que esta quede guardada en un formato o cadena que representa a la clave original y esta se utilize para comparacion. Cuando el Usuario se logea esta se convierte a la cadena y esta se compara con la guardada. Esto es lo interesante de utilizar MD5

Antonio

11/4/2007
MD5 es una función del tipo "one way hash", la cual permite obtener un resumen criptográfico a partir de un texto (una buena analogía sería usar la expresión "huella digital de un texto"). El resumen criptográfico obtenido con MD5 es de 128 bits (o 32 bytes, si así lo prefieres). MD5 no es, por tanto, un algoritmo de cifrado, puesto que a partir del resumen criptográfico no puede obtenerse el texto original. Por eso se las llama "funciones de una sola vía".
Puesto que el número de resúmenes obtenibles es de dos elevado a 128 y el número de textos a los que se puede someter a MD5 es infinito, el número de textos distintos con el mismo resumen criptográfico es también infinito. No obstante, la posibilidad de que dos textos diferentes tengan el mismo resumen criptógrafico es baja (se denomina "colisión"). Ahí radica su fortaleza.
O, mejor dicho, radicaba.
En el 2004, un grupo de investigadores japoneses hallaron la forma de lograr una colisión usando un número de intentos significativamente menor a los estimados en la especificación de MD5. Desde entonces su uso no está aconsejado.
En su lugar se recomienda el uso de SHA1, la cual genera resumenes de 160 bits. También se puede usar SHA256, que genera resúmenes de 256 bits. No obstante, consumen algo más de CPU. De hecho, uno de los motivos de éxito de MD5 era su consumo de recursos, relativamente bajo. De ahí que muchas aplicaciones comerciales pensadas para ser usadas en entornos de trabajo intenso sean reacias a cambiar de algoritmo hash.
Por cierto, el criptoanalista Bruce Schneier (conocido por enmendarle la plana a creadores de algoritmos) anunció no hace mucho que la función SHA1, aunque útil por ahora como sustituta de MD5, no debe ser confiada en exceso. Sugiere irle buscando una sustituta.

soledad

15/11/2008
SOBRE QUE ES EL COMENTARIO
FAQ relacionadas
Volver al árbol de categoríasVolver al árbol de categorías