Feed de Edgaragg

Facebook Share

Share on facebook

Designed by:
SiteGround web hosting Joomla Templates
Autenticación segura usando Ajax
Autenticación segura usando Ajax - Registro de usuario seguro PDF Imprimir E-mail
Escrito por edgaragg   
Martes, 14 de Abril de 2009 10:26
Indice del artículo
Autenticación segura usando Ajax
¿Qué es la autenticación por desafío/respuesta?
Algoritmo propuesto
Registro de usuario seguro
¿Cómo encriptar en el cliente?
Todas las páginas

Registro de usuario seguro

Ahora tenemos un proceso de autenticación en principio segura, sin embargo, no es el único lugar en la aplicación donde un usuario puede enviar una contraseña como texto a través de la red.  Esto puede pasar también en el momento del registro, por lo que este proceso también debe llevarse a cabo de forma segura.  A continuación presento un algoritmo para llevar a cabo el registro del usuario de forma segura, este proceso debe hacerse de una forma muy  similar para el caso de cambio de contraseña:

  1. El cliente llena los datos de registro y presiona el botón para registrar. Al hacer clic sobre dicho botón se hace una llamada ajax al servidor enviando como parámetro unicamente el nombre de usuario  (Puede enviarse también el correo electrónico si se desea validar que el correo sea único)
  2. El servidor valida que el nombre de usuario no este repetido. (tambien verifica el correo si este fué enviado) Si no está repetido se genera un código aleatorio que será el salt y se envía al cliente.
  3. El cliente encripta la  contraseña concatenandola con el salt y aplicandole posteriormente la función de hash.  En otras palabras:

    Contraseña encriptada =  h(contraseña + salt)

  4. Se envía la contraseña encriptada al servidor junto con los otros datos del registro haciendo otra llamada ajax.
  5. El servidor almacena los datos del usuario junto con la contraseña encriptada.
En este caso, en el paso 4 se puede cambiar la llamada ajax por un post de un formulario.  De ser así, hay que asegurarse de enviar la contraseña encriptada en lugar de la contraseña en texto plano.



Actualizado ( Martes, 14 de Abril de 2009 15:07 )