Consejos para realizar un login seguro
11:30 H (CET)| Temas: Desarrollo web
Buena serie de consejos a tener en cuenta cuando desarrollamos nuestro sistema de login. Algunos son ya conocidos, pero no está mal recordarlos:
- Logitud de la contraseña y nombre de usuario: tiene que tener mínimo 6-8 caracteres.
- Encriptar la contraseña: aunque casi todo el mundo usa MD5 o SHA-1, no está mal del todo usar SHA-2 (disponible en PHP5), ya que las anteriores ya no son tan seguras como hace tiempo.
- Añade una semilla a la contraseña: cuando encriptes la contraseña es recomendable añadirle un texto para que el hash sea mas seguro.
- No uses nombres sencillos para el administrador: evita usar nombres como "admin", "root", ...
- Registra los intentos de login: así se podrá detectar cuando estamos siendo atacados.
- Maneja los errores: cuando se produce un login fallido, o evita que se produzca un error, o muestra un error personalizado, no muestres errores de código que puedan dar pistas al atacante.
- Filtra la entrada: filtra lo que el usuario meta en su usuario para evitar inyecciones de código y no compruebes si la contraseña es correcta mediante SQL.
- Usa LIMIT o WHERE 1: es importante para evitar comprometer muchas cuentas si sufrimos un ataque.
- Usa nonce: nonce es un número único para la sesión, así nos aseguramos de que no se realicen ataques de fuerza bruta usando diccionario.
- Usa sólo $_POST: $_GET es más sencillo de usar que $_POST, aunque no quita que usando $_POST no nos encontremos con problemas.
- Cuentas MySQL: utiliza un usuario con permiso de select para realizar el login, así, si rompen tu seguridad, no podrán hacer deletes, updates o inserts.
- Auto logout: Si quieres darle mayor seguridad, desconecta al usuario automáticamente pasado un cierto tiempo de inactividad. Aunque desde el punto de vista de la usabilidad no es muy recomendable.
- Bloque la cuenta: si se han intentado varios logins consecutivos y han sido fallidos, se debería bloquear la cuenta.
PHP Secure Login Tips And Tricks
Vía / DZone
Relacionados
Feedback (1) » Formulario
1. Vicent González i Castells ~ Martes, 13 Oct 2009 | 10:03H:
Añado mi granito: bloquear el acceso desde la IP si se detectan varios logins malintencionados.
Buen post.
— Publicidad —
WHOIS!
Sentido Web es la publicación creada por Blogs Media dirigida a los desarrolladores web e internautas apasionados por la programación, diseño, negocios y todo lo que ocurre en Internet. La revista que siempre has querido leer y sin ir al kiosko.
Suscriptores desde RSS
Si no conoces el significado de feed, RSS; y en definitiva las ventajas de la sindicación, inserta tu email para recibir las actualizaciones:
Temas destacados
- Quicklinks (477)
- PHP (315)
- Javascript (210)
- Desarrollo web (116)
- MYSQL (106)
- CSS (78)
- Google (66)
- How to (61)
- Utilidades (60)
- Firefox (59)
Archivo
- Noviembre 2009 (12)
- Octubre 2009 (13)
- Septiembre 2009 (4)
- Agosto 2009 (15)
- Julio 2009 (17)
- Junio 2009 (18)
- Mayo 2009 (16)
- Abril 2009 (17)
- Marzo 2009 (19)
- Febrero 2009 (21)
- Enero 2009 (17)
- Diciembre 2008 (13)
- Noviembre 2008 (20)
- Octubre 2008 (22)
- Septiembre 2008 (25)
- Agosto 2008 (11)
- Julio 2008 (24)
- Junio 2008 (17)
- Mayo 2008 (25)
- Abril 2008 (35)
- Marzo 2008 (41)
- Febrero 2008 (49)
- Enero 2008 (50)
- Diciembre 2007 (44)
- Noviembre 2007 (49)
- Octubre 2007 (60)
- Septiembre 2007 (59)
- Agosto 2007 (33)
- Julio 2007 (63)
- Junio 2007 (64)
- Mayo 2007 (68)
- Abril 2007 (58)
- Marzo 2007 (65)
- Febrero 2007 (67)
- Enero 2007 (110)
- Diciembre 2006 (63)
- Noviembre 2006 (62)
- Octubre 2006 (71)
- Septiembre 2006 (75)
- Agosto 2006 (51)
- Julio 2006 (71)
- Junio 2006 (72)
- Mayo 2006 (88)
- Abril 2006 (95)
- Marzo 2006 (68)
Editores
Luis Sacristán
Equipo Blogs Media
Zona horaria
Escribimos desde España (CET)
Publicidad
Posts recientes
- jQSlickWrap: texto alrededor de una imagen con jQuery
- Sin comentar
- Crear un RSS desde CodeIgniter
- Sin comentar
- Consejos para MySQL
- Sin comentar
Lecturas
Una breve selección de nuestras fuentes:
Internet
- Bitelia
- Blogpocket
- CNET News.com
- Denken Über
- Download Squad
- eHub
- Enrique Dans
- Error500
- Genbeta
- Incubaweb
- Lifehacker
- Loogic
- Maestros del web
- Micropersuasion
- Microsiervos
- Proletarium
- TechCrunch
Desarrollo web
- Accesibilidad, Usabilidad y Estándares Web
- 456 Berea Street
- A List Apart
- Alex Sancho
- display: NONE
- Dizque
- HTML Life
- Icebeat
- Óscar Barber
- Simplebits
- Stopdesign
- Tripix
Blogging
Agregadores
¿Qué dicen de nosotros?
Blogs Media
- VivirLatino
- Sentido Web
- CSS Mania
- Apps Mania
 |
| ¿Necesitas formación? |
 Cursos Master MBA |
Sentido Web, 2006 · About | Uso | Feeds | Publicidad | Contactar |
CMS: Movable Type |
Por: Blogs Media 