Gestión Segura de Contraseñas con password_hash() y password_verify()

Guía Rápida: Seguridad Básica en PHP

Una de las preocupaciones más críticas en el desarrollo web es la gestión segura de contraseñas. Almacenar contraseñas en texto plano es una mala práctica que puede poner en riesgo la seguridad de tus usuarios. En caso de que la base de datos sea comprometida, los atacantes tendrán acceso directo a las contraseñas, lo que facilita aún más otros ataques como el acceso no autorizado.

Afortunadamente, PHP proporciona herramientas para manejar las contraseñas de manera segura mediante las funciones password_hash() y password_verify(). Estas funciones permiten encriptar contraseñas de manera adecuada y verificar su autenticidad sin necesidad de almacenarlas en texto plano.

En esta sesión, aprenderás cómo usar estas funciones y aplicar las mejores prácticas para proteger las contraseñas de tus usuarios.

¿Por qué es Importante la Seguridad de las Contraseñas?

Las contraseñas son el mecanismo principal para autenticar a los usuarios en muchas aplicaciones web. Sin embargo, si se gestionan de forma incorrecta, pueden convertirse en un punto de vulnerabilidad crítico. A continuación, te presentamos algunos de los riesgos de almacenar contraseñas sin protección adecuada:

Almacenamiento en texto plano: Si se almacenan contraseñas en texto plano, cualquier persona que obtenga acceso a la base de datos podrá leerlas y usarlas.
Ataques por diccionario y fuerza bruta: Sin un mecanismo de protección como el hashing, los atacantes pueden intentar adivinar las contraseñas utilizando ataques automatizados.
Reutilización de contraseñas: Los usuarios a menudo reutilizan contraseñas en múltiples sitios. Si un atacante obtiene una contraseña de un sitio comprometido, puede intentar usarla en otros sitios.

Uso de `password_hash()` para Almacenar Contraseñas de Forma Segura

La función password_hash() es el método recomendado para convertir las contraseñas en texto claro a un formato hashed o «cifrado» de forma segura. PHP utiliza algoritmos robustos como Bcrypt o Argon2 para realizar el hashing de contraseñas.

Sintaxis de `password_hash()`

$password_hash = password_hash($password, PASSWORD_DEFAULT);

$password: Es la contraseña que el usuario ha proporcionado.
PASSWORD_DEFAULT: Es un algoritmo de hashing predeterminado. Actualmente, utiliza Bcrypt, que es uno de los algoritmos más seguros. Puedes especificar otros algoritmos, pero PASSWORD_DEFAULT es la mejor opción ya que PHP lo actualiza automáticamente según las mejores prácticas.

Ejemplo de uso de `password_hash()`

$password = "miContraseñaSegura123"; // Contraseña que el usuario proporciona
$hashed_password = password_hash($password, PASSWORD_DEFAULT); // Cifrado de la contraseña

echo $hashed_password; // Muestra el hash de la contraseña

Cuando ejecutas este código, PHP genera una cadena larga que representa el hash de la contraseña. Este hash es lo que debes almacenar en la base de datos, no la contraseña en texto plano.

Ventajas de `password_hash()`:

Algoritmos robustos: Utiliza algoritmos avanzados como Bcrypt o Argon2 para generar hashes que son resistentes a ataques de fuerza bruta.
Saltos automáticos: password_hash() incluye un «salto» (salt), que es un valor aleatorio que se añade al proceso de hashing. Esto asegura que incluso si dos usuarios tienen la misma contraseña, sus hashes serán diferentes.
Actualización de algoritmo: Si en el futuro se cambia el algoritmo de hashing o se añaden mejoras, puedes actualizar los hashes sin necesidad de intervención del usuario.

Verificación de Contraseñas con `password_verify()`

Una vez que hayas almacenado el hash de la contraseña, debes verificar si una contraseña proporcionada por un usuario coincide con el hash almacenado. Para hacer esto, PHP ofrece la función password_verify().

Sintaxis de `password_verify()`

if (password_verify($password_input, $stored_hash)) {
    // La contraseña es correcta
} else {
    // La contraseña es incorrecta
}

$password_input: Es la contraseña proporcionada por el usuario en el momento de iniciar sesión.
$stored_hash: Es el hash almacenado en la base de datos, generado previamente con password_hash().

Ejemplo de uso de `password_verify()`

// Suponiendo que el hash de la contraseña almacenado en la base de datos es el siguiente:
$stored_hash = '$2y$10$B5WqlYVoRhniBXXvvgyH0.ykPvZqWNeB2kt6OwyXY7lZT0VsS02Ey'; // Ejemplo de hash

$password_input = "miContraseñaSegura123"; // Contraseña proporcionada por el usuario

if (password_verify($password_input, $stored_hash)) {
    echo "Contraseña correcta";
} else {
    echo "Contraseña incorrecta";
}

En este ejemplo, password_verify() compara la contraseña proporcionada por el usuario con el hash almacenado en la base de datos. Si el hash coincide, se considera que la contraseña es válida.

Ventajas de `password_verify()`:

Comparación segura: La función realiza una comparación segura que no expone información sobre la validez de la contraseña (como tiempos de respuesta que puedan delatar intentos incorrectos).
Protección contra ataques de timing: password_verify() está diseñada para prevenir ataques de análisis de tiempo, lo que mejora la seguridad.

Mejores Prácticas para la Gestión de Contraseñas

Además de usar password_hash() y password_verify(), hay algunas mejores prácticas que debes seguir para asegurar las contraseñas de tus usuarios:

Usar HTTPS: Asegúrate de que tu aplicación use HTTPS para cifrar las contraseñas enviadas por los usuarios a través de formularios. Esto previene que los atacantes intercepten las contraseñas en tránsito.

No almacenar contraseñas en texto plano: Nunca almacenes contraseñas en texto plano en la base de datos. Siempre usa password_hash() para cifrar las contraseñas antes de almacenarlas.

Reforzar las contraseñas: Incentiva a los usuarios a elegir contraseñas fuertes, que sean largas, complejas y que contengan una combinación de letras, números y caracteres especiales.

Regenerar hashes cuando sea necesario: Si en algún momento deseas cambiar el algoritmo de hash o aumentar el costo de hashing, puedes volver a generar el hash de las contraseñas almacenadas usando password_needs_rehash().

if (password_needs_rehash($stored_hash, PASSWORD_DEFAULT)) {
    $new_hash = password_hash($password_input, PASSWORD_DEFAULT);
    // Actualiza el hash en la base de datos
}

No almacenar el salt por separado: Los saltos son almacenados automáticamente por PHP en el hash, por lo que no es necesario almacenarlos por separado. El algoritmo de hashing ya incluye el salto.

Conclusión

El uso adecuado de las funciones password_hash() y password_verify() en PHP es esencial para proteger las contraseñas de los usuarios en tus aplicaciones. Estas funciones te permiten almacenar contraseñas de manera segura, utilizando algoritmos de hashing robustos y garantizando que las contraseñas nunca se almacenen en texto plano.

Al seguir las mejores prácticas de seguridad y aplicar estas funciones, puedes proteger tus aplicaciones contra ataques de fuerza bruta y otros intentos de violación de seguridad. Recuerda que la protección de las contraseñas es solo una parte de una estrategia de seguridad más amplia, pero es una de las más críticas para proteger la integridad de tus usuarios y de tus sistemas.

← Anterior

¿Por qué es Importante la Seguridad de las Contraseñas?

Uso de password_hash() para Almacenar Contraseñas de Forma Segura

Sintaxis de password_hash()

Ejemplo de uso de password_hash()

Ventajas de password_hash():

Verificación de Contraseñas con password_verify()

Sintaxis de password_verify()

Ejemplo de uso de password_verify()

Ventajas de password_verify():