Almacenar datos en los servidores sin la correcta seguridad pone en peligro la privacidad de los datos y puede ocasionar graves consecuencias legales. Estudiamos los métodos más profesionales.
Cuando almacenamos datos en nuestro servidor debemos estar preparados para cualquier tipo de acceso no autorizado para evitar disgustos innecesarios y tener sanciones de hasta 600000€ por no proteger la información sensible de los clientes.
Encriptar los datos consiste en grabarlos en la base de datos de forma codificada de forma que el hacker que consiga leer la base de datos no pueda entender su contenido. Se debe diferenciar entre encriptación con algoritmo reversible (que requiere obtener el dato original del almacenado) de un algoritmo de hash que solo codifica un contenido de forma única.
Empecemos primero por la encriptación sin inversa:
Por ejemplo las claves pueden almacenarse sin necesidad de reversibilidad de forma que si el cliente no conoce la clave no pueda entrar en nuestra web. Las funciones de PHP hash md5() y sha1() hasta hace poco fueron un estándar, pero por la rapidez en la extracción de datos por fuerza bruta, dictionary o rainbow tables ya no se recomiendan para la codificación de contraseñas. El mismo creador de MD5 ha escrito en su blog que “la codificación md5() no es segura” y opten por algoritmos como SHA-2.
Si tenemos PHP 5.3 o superior dispondremos de algoritmos profesionales y podemos comprobarlo con el siguiente código que os será muy útil.
<?php if(defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) { echo "Wiii, tengo CRYPT_BLOWFISH!"; } ?>
Para hacer más segura la creación de un HASH (un ID único para una cadena) se debe utilizar un SALT que se añade a la contraseña que debemos codificar para crear un elemento único que será guardado en la base de datos. Para comprobar si es valida la clave solo se aplicará el HASH y se comprobará si da el mismo resultado que el almacenado, así sabremos si es valida la clave.
Con este funcionamiento de la encriptación mediante HASH queda claro que cuando algún cliente desee recuperar la contraseña se deberá remitir un correo electrónico con un enlace para cambiar la contraseña y pedir la nueva. Nunca se podrá recibir la contraseña actual en el email.
$salt = '34a@$#aA9823$'; $password = 'agencialanave28625'; $password = hash('sha256', $salt . $password);
La gente tiene el hábito o mal hábito de usar la misma contraseña para todas sus cuentas, desde su cuenta en facebook hasta la de paypal o peor, la de su cuenta bancaria. Nuestra obligación es proteger ese dato fundamental por si desafortunadamente nuestra base de datos cae en las manos equivocadas, cómo las de un empleado malintencionado o la de un hacker.
Uno de los algoritmos más adecuados es el BLOWFISH y para su utilización se debe emplear la función de PHP crypt. En función del SALT la función encriptará usando un sistema u otro.
Si el SALT se basa en un alfabeto de 22 caracteres dentro del array “set_salt” y se realiza el mismo mediante componentes aleatorios se obtendrá una encriptación de mayor calidad y mediante algoritmo BLOWFISH.
function crypt_blowfish_agencialanave($password, $digito = 7) { $set_salt = './1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'; $salt = sprintf('$2a$%02d$', $digito); for($i = 0; $i < 22; $i++) { $salt .= $set_salt[mt_rand(0, 63)]; } return crypt($password, $salt); }
Una vez tenemos la función programada podremos comprobar si la clave es válida encriptando la misma indicando el valor conservado en la base de datos y comprobar si la función devuelve la propia cadena. (el siguiente código lo ilustra)
$contrasenarecibidaporPOST= $_POST['password']; $passwordenMYSQL = '$2a$07$yMoJrJpwEPrmVnZx4KIyNuOAiOMQksjkV1EW0YRgVe33eYe/yT60y'; if( crypt($contrasenarecibidaporPOST, $passwordenMYSQL) == $passwordenMYSQL) { echo 'Es igual, el usuario se ha loggeado. '; }
Queda claro que para añadir una mayor seguridad al proyecto se deberá encriptar el propio código PHP mediante herramientas potentes de programación como las descritas en otro de nuestros artículos.
Ahora estudiaremos como encriptar los datos (siendo posible desencriptar): Por ejemplo cuando almacenamos en la BD la tarjeta de crédito para realizar pagos a posteriori. En este caso será indispensable que el código PHP también este encriptado para impedir al “hacker” sacar el dato origen al conocer el algoritmo.
En ese caso usaremos las funciones de PHP base64_encode, mcrypt_decrypt, y mcrypt_encrypt para guardar los datos en la base de datos de forma segura. Mediante una clase podremos establecer la CLAVE de encriptación.
class Encryptar { private static $Key = "agencialanave725518"; public static function encrypt ($input) { $output = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256 , md5(Encrypter::$Key), $input, MCRYPT_MODE_CBC, md5(md5(Encrypter ::$Key)))); return $output; } public static function decrypt ($input) { $output = rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, md5(Encrypter::$Key), base64_decode($input), MCRYPT_MODE_CBC, md5(md5(Encrypter::$Key))), "\0"); return $output; } }
Si queremos ser estrictos o más seguros, la KEY empleada podría ser diferente según el usuario, algo que hacen plataformas como MEGA.co.nz y que permiten que los datos guardados en los servidores solo los pueda ver el propio usuario. Ni siquiera la propia empresa que aloja los archivos puede saber lo que se conserva. (salvo que se guarden las claves enviadas por la red).
Para poder comprobar si la clave es la correcta os proponemos este sencillo código:
$texto = "La seguridad si es importante"; // Encriptamos el contenido $texto_encriptado = Encryptar::encrypt($contenido); // Desencriptamos el contenido $texto_original = Encryptar::decrypt($texto_encriptado); if ($texto == $texto_original) echo 'Encriptación = Desencriptación => son iguales.';
Queda claro que en toda esta seguridad se debe utilizar SSL para enviar las claves tecleadas por el usuario o incluso hacer un HASH a las mismas (SHA2) como advertimos en otro de nuestros artículos. (incluso en el propio cliente en JAVASCRIPT)
En AGENCIA LA NAVE no olvidamos estos puntos importantes del negocio para garantizar su éxito. Sabemos que los clientes quieren dormir tranquilos y lo que para algunos no es importante para nosotros lo es. No dude en consultarnos si necesita más información sin compromiso.
hola
adios
ye nigga, k ishe loko, pos aki en una pag de parguelas¿?
I’ve been looikng for a post like this for an age
/ After researching a few of the weblog posts in your web site now, and I really like your approach of blogging. I bookmarked it to my bookmark website listing and will likely be checking again soon. Pls take a look at my website online as properly and let me know what you think.
Jason Malloy, I think I have a problem with premise 1):1) Men and women have different, but overlapping innate mating preferences…. Doesn't mating involve reproduction? I take your point to be that where the sex-ratio favors the women, they will choose DADS. Doesn't this assume that sex and reproduction are linked? That the procreative aspect is necessarily part of the mating? What if they're not linked? What if the procreative aspect can be separated out? Would that change, even temporarily, who the women would choose?
"He owed me about half of it".The Jon Anderson comparison with Withered hand – amusing, but off-beam. Anderson’s vox were always sub-operatic, boy soprano stylee. Whereas WH’s high register is much more naturalistic, an Anglo-Scots distant relation of Mark Kozelek. or something like that.Enough from me.C ya.DP
Damn, I wish I could think of sontheimg smart like that!
tus muertos aprende a escribir
Yo me cago en tos tus muertos…
Donde vives k valla y te parta la cara de niño rata k me llevas
ayer me folle a tu madre christian
cuando? cuando estaba con tu madre y tu hermana en tu cama?
PD: use tus calzoncillos y yo no usaria tu cepillo de dientes
I’m imressped you should think of something like that
São eles e o ROC, tudo em aproximadamente 24horas. A sério, é isto o Sporting. LOLJá postei o calendário do Sporting na presente época e tudo no meu cantinho. É um calendário muito simples, mas que defende a honra dos lagartos. LOLADA
If you’re looking to buy these artcelis make it way easier.
Se la maman con sus comentarios XD
XD
flo(cea) deja ne-a dat testări ÅŸi ne-a pus ÅŸi verdictul: niÅŸte analfabeÅ£i frate, dacă aveau vuittoane ÅŸtia să citeÅŸte! valoarea mea, valoarea mea…
Falta explica lo segundo relacionado con: Encriptación directa.
Aun es recomendado este articulo o hay algo mas que deba saber para tener mayor seguridad de los datos.?
Right on-ihts helped me sort things right out.