Hola,
Hoy me he enterado de que si tienes una web por obligación tienes que encriptar todos los campos de contraseña en MD5... O almenos aquí, en España.
Lo que me pregunto es si puedes usar otra encriptación que no sea MD5...
¿En vuestro país también es ilegal?
Interesante pregunta. Intentaré responderla brevemente y, a pesar de su complejidad, lo más sencillo que pueda.
[En España]
Como administrador eres responsable de los datos personales de los usuarios que se registren, y debes garantizar la seguridad de los mismos. Según el artículo 9 de la LOPD, debes evitar la alteración, pérdida, tratamiento o acceso no autorizado de los datos de carácter personal. No adoptarlas constituye una infracción grave.
Básicamente, no puedes garantizar que tus usuarios no estén infectados por un keylogger, por ejemplo, pero sí puedes garantizar la seguridad de los datos una vez lleguen a tus servidores, donde sí tienes control.
Ahora, para responder a tu pregunta, antes debemos definir el concepto de seguridad. Una función hash se considera segura cuando cumple los siguientes requisitos (simplificados):
En ningún momento la ley te obliga a utilizar la función MD5, aunque sí se sabe que esta función cumple las condiciones anteriores y, por tanto, puede considerarse segura. En realidad, ni siquiera estás obligado a utilizar una función hash, pero todo el mundo las utiliza porque funcionan. Curiosamente, si alguien accede a tu servidor y se hace con algún hash del que logra obtener la contraseña original (y acceder a los datos de alún usuario de forma no autorizada), tú eres el responsable y te pueden obligar a pagar una multa, aunque nunca incurrirá delito penal.
Además, no tienes que olvidar inscribir el fichero que contenga dichos datos personales ante la AEPD y notificar a los usuarios de sus derechos antes de que puedan registrarse.
Aclaración final: se considera dato de carácter personal cualquier información concerniente a personas físicas indentificadas o identificables. Por lo tanto, pueden existir páginas web que no traten datos personales (al no poder identificar personas de los mismos) y por tanto queden exentos de responsabilidades legales.
Un saludo!
P.D: no soy abogado ni jurista: no he estudiado derecho. Aún así, espero haberte ayudado.
[En España]
Como administrador eres responsable de los datos personales de los usuarios que se registren, y debes garantizar la seguridad de los mismos. Según el artículo 9 de la LOPD, debes evitar la alteración, pérdida, tratamiento o acceso no autorizado de los datos de carácter personal. No adoptarlas constituye una infracción grave.
Básicamente, no puedes garantizar que tus usuarios no estén infectados por un keylogger, por ejemplo, pero sí puedes garantizar la seguridad de los datos una vez lleguen a tus servidores, donde sí tienes control.
Ahora, para responder a tu pregunta, antes debemos definir el concepto de seguridad. Una función hash se considera segura cuando cumple los siguientes requisitos (simplificados):
- Unidireccionalidad: a partir de un hash no puedes obtener el valor que lo produce.
- Libre de colisiones: no puedes encontrar dos valores que produzcan el mismo hash.
En ningún momento la ley te obliga a utilizar la función MD5, aunque sí se sabe que esta función cumple las condiciones anteriores y, por tanto, puede considerarse segura. En realidad, ni siquiera estás obligado a utilizar una función hash, pero todo el mundo las utiliza porque funcionan. Curiosamente, si alguien accede a tu servidor y se hace con algún hash del que logra obtener la contraseña original (y acceder a los datos de alún usuario de forma no autorizada), tú eres el responsable y te pueden obligar a pagar una multa, aunque nunca incurrirá delito penal.
Además, no tienes que olvidar inscribir el fichero que contenga dichos datos personales ante la AEPD y notificar a los usuarios de sus derechos antes de que puedan registrarse.
Aclaración final: se considera dato de carácter personal cualquier información concerniente a personas físicas indentificadas o identificables. Por lo tanto, pueden existir páginas web que no traten datos personales (al no poder identificar personas de los mismos) y por tanto queden exentos de responsabilidades legales.
Un saludo!
P.D: no soy abogado ni jurista: no he estudiado derecho. Aún así, espero haberte ayudado.
github.com/Slek-Z
Muy buena respuesta :) Ya lo tengo más claro, no sabia que no hacia falta encriptar si no hay información personal de por medio