Nieuwe PHPhulp
Pagina: « vorige 1 2 3 ... 36 37 38
Paradox� schreef op 02.02.2010 19:44:
Haal je het dan niet gewoon terug naar een normale string?
Dubbele MD5 is kansloos om de simpele reden dat je precies weet dat de eerste vorm waar je naar moet zoeken 32 tekens [a-f\d] is. Dat maakt het extreem simpel.
Is sha512 beter dan md5 of sha-1?
Er is (zoals ik al zei) niet zozeer een nut aan hevigere encryptie. Ja, het is beter ja, maar dat is bijna niet relevant: ervoor zorgen dat mensen er überhaupt niet bij kunnen komen is googolplex maal zo belangrijk. :-)
Gewijzigd op 01/01/1970 01:00:00 door Johan Dam
nosferatu schreef op 03.02.2010 09:07:
zoals richard zei, md5(md5(md5($str))); is veiliger dan md5($str) maar als je écht veilig wilt werken dan zoek je iets anders,
Dat zei ik *NIET*, het is absoluut niet waar.
Lezen jullie niet? Ik zeg al meerdere malen dat het hashen van je wachtwoord alleen maar bijzaak is, ervoor zorgen dat *niemand* erbij kan is veel en dan echt extreem veel belangrijker.
En dat is dan gelijk de reden dat je gevoelige data niet op een shared hosting account wil doorgaans, veel shared hosters weten niks van beveiliging.
Code (php)
1
2
3
4
5
2
3
4
5
<?php
//zelf in te vullen string
$salt = '@as324dasd*2312(*Am_SADA)S';
hash('sha512', $password . $salt);
?>
//zelf in te vullen string
$salt = '@as324dasd*2312(*Am_SADA)S';
hash('sha512', $password . $salt);
?>
Gewijzigd op 01/01/1970 01:00:00 door Mar cel
Nog mooier is als je een "pre_salt" en "end_salt" hebt van verschillende lengte. Het uitvissen van het eigenlijke wachtwoord is dan nog lastiger.
Mm dat is ook een goede. Maar het is zoiezo toch al bijna onmogelijk om sha512 hash om te achterhalen?
Ik genereer voor een login een random code zonder gevoelige gevens en die wordt in de sessie geplaatst. Alleen deze code icm sessie_id() en REMOTE_ADDR maakt de login geldig.
Dat lijkt me een van de meest veilige methodes. Ookal wordt de code in de sessie gehacked, er staan geen gegevens in, en je kan er ook niets mee zonder het sessie_id en remote_addr. Een soort 'triangle' constructie.
Jim schreef op 03.02.2010 11:30:
Ik genereer voor een login een random code zonder gevoelige gevens en die wordt in de sessie geplaatst. Alleen deze code icm sessie_id() en REMOTE_ADDR maakt de login geldig.
Bewaar je die sessie of niet? Want als je hem bewaart, moet je er rekening mee houden dat het IP adres kan veranderen bij een reboot...
EDIT:typo
Gewijzigd op 01/01/1970 01:00:00 door - Jim -
@jim: ik maak ook gebruik van zo`n soort setup. Er wordt een sessionId aangemaakt, hier wordt een unieke hash gekoppeld, en die koppeling wordt, samen met het gebruikersId en ipAddress opgeslagen.
Ik vond het van belang dat er geen userdata in de hash stond als deze zou worden gehacked.
kan ik me voorstellen, echter een random 128bit hash, waar zowel de sessie sleutel als userId in wordt bewaard, kan alsnog niet veel gevaarlijks op leveren. Je moet eerst de hash ontcijferen, duurt te lang, daarnaast wordt het gekoppeld aan je ip adres, dus kun je er sowieso niet veel mee van buiten af. En op deze manier kun je distinct zijn per ip adres, door te filteren op user id.
Niels schreef op 02.02.2010 20:14:
LOL WTF!MD5() is een HASH en een HASH is niet omkeerbaar!
HASH != ENCRYPTIE!
Edit:
Misschien nog even toelichten waarom ik een dubbele md5 gebruik, simpelweg omdat er inmiddels al verschillende databases zijn met strings en md5 strings en een enkele md5 dus makkelijker te bruteforcen is.
Gewijzigd op 01/01/1970 01:00:00 door Wouter De Schuyter
Paradox, gebruik je dan geen salt?
Echt, letten jullie nou echt niet op wat ik zeg?? Het is *EXTREEM VEEL* belangrijker om er voor te zorgen dat er niemand bij kan! Zo moeilijk is het niet.