wachtwoorden hashen

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

PHP Developer

Functie omschrijving Als PHP Developer ga jij aan de slag met uitdagende software projecten. Jij gaat in deze functie software applicaties ontwikkelen. Deze software projecten zijn heel divers, en deze organisatie maakt software, van A tot Z. Klanten kunnen in elke sector werkzaam zijn, van profit tot non-profit. Deze software bouw je vooral in PHP en specifiek Laravel. Dit framework kent dus geen geheimen voor jou. De software die jij gaat ontwikkelen is heel divers, van urenregistratiesystemen tot compleet geautomatiseerde tools. In deze veelzijdige functie ga jij je zeker niet vervelen, elke dag bestaat weer uit nieuwe uitdagingen. Bedrijfsprofiel Deze

Bekijk vacature »

SQL Database Ontwikkelaar

Functie omschrijving Kan jij goed overweg met complexe algoritmes en het schrijven van procedures in T-SQL? Heb jij al wat ervaring opgedaan met SQL en vind je het tijd voor de volgende stap? Lees dan snel verder! Dit software bedrijf, gespecialiseerd in de ontwikkeling van logistieke software, is op zoek naar een ervaren SQL database developer. Jouw werkzaamheden zullen onder andere bestaan uit: Je houdt je bezig met het ontwerp en de ontwikkeling van MS SQL server databases, dit doe je met T-SQL als programmeer laag. De begeleiding van projecten van A tot Z, je zult aansluiten bij meetings met

Bekijk vacature »

SQL beheerder / ontwikkelaar

Functie omschrijving Voor een klant in omgeving Tiel zijn wij op zoek naar een SQL beheerder met affiniteit met technisch applicatiebeheer. Je krijgt een fijne in-house werkplek waar je gaat werken aan diverse projecten. Dit bedrijf doet het beheer van databases voor een aantal bancaire klanten. Op dit momenten hebben zij ruim 1500 databases in beheer. Jouw werkzaamheden gaan er als volgt uit zien: Je gaat de development afdeling ondersteunen bij het ontwikkelen van MS SQL Scripts. Je zal zowel zelfstandig als in teamverband MS SQL databases installeren & beheren. Je monitort en onderzoekt incidenten en de achterliggende oorzaken. Je

Bekijk vacature »

C# .NET Developer

Functie omschrijving Ben jij op zoek naar een nieuwe uitdaging binnen development waar je komt te werken binnen een flexibel, jong en ondernemend bedrijf. Lees dan snel verder! Voor deze functie zoeken wij een C# .NET Developer die enthousiast wordt van het aansluiten en begeleiden van (complexe) nieuwe klanten. Daarnaast begeleid je complexe projecten, wij zoeken iemand die altijd kansen ziet en waarbij het glas altijd half vol is. Voor deze functie zoeken wij een Developer met ervaring op het gebied van .NET die deze organisatie gaat versterken. Binnen de organisatie ga jij je vooral bezighouden met het verbeteren van

Bekijk vacature »

Java Developer

Java/Kotlin Developer Ben jij een ervaren Java/Kotlin developer met een passie voor het automatiseren van bedrijfsprocessen? Wil je graag deelnemen aan uitdagende projecten bij aansprekende klanten? En ben je op zoek naar een professioneel, ambitieus en dynamisch bedrijf om je carrière verder te ontwikkelen? Kom dan ons team bij Ritense in Amsterdam versterken! Zo ziet de functie eruit: Als Java/Kotlin developer bij Ritense ben je verantwoordelijk voor de ontwikkeling en implementatie van applicaties die bedrijfsprocessen automatiseren, zodat onze klanten slimmer, efficiënter en klantgerichter kunnen werken. Als developer ben je in de lead en zorg je voor de correcte oplevering van

Bekijk vacature »

Front-end Developer

Functie omschrijving Wij zijn op zoek naar een Front-end Developer! Als Front-end Developer binnen dit softwarebedrijf ga je de frontends voor zowel je eigen interne projecten als die voor klanten opzetten, onderhouden en uitbreiden. Je zet ideeën om naar mooie successen voor de klanten. Dat is in een notendop wat je gaat doen! Wat kun je verwachten? Je werkt aan de doorontwikkeling van bestaande maatwerkapplicaties. Bijvoorbeeld wanneer de klant de applicatie wil uitbreiden met een nieuwe feature; Samen met het team van backenders en desginers zet je nieuwe ideeën van klanten om naar mooie oplossingen; Je werkt met verschillende frameworks.

Bekijk vacature »

Starter/junior Magento developer gezocht!

Functie Je komt te werken in een zelfsturend team waarin vertrouwen voorop staat en inbreng en ideeën worden gewaardeerd. Ook staat innovatie centraal. Ze bieden jou de mogelijkheid om jezelf door te ontwikkelen. Denk hierbij aan cursussen en een persoonlijk ontwikkelplan. Je komt terecht in het team van momenteel 4 (ervaren) collega’s en zal meewerken aan de doorontwikkeling en nieuwbouw van de Magento platformen van meerdere opdrachtgevers volgens Agile/Scrum. Denk hierbij aan nieuwe functionaliteiten, UX en koppelingen met verschillende back-end systemen. Als starter/junior developer zul je direct begeleid worden door een senior uit het team. Het is van belang dat

Bekijk vacature »

PHP Developer gezocht!

Functie omschrijving Wij zijn op zoek naar een PHP Developer! Ben jij op zoek naar een nieuwe uitdaging? Lees dan snel verder! Voor een organisatie in de regio Utrecht die zich bezighoud met het verbeteren van de medicatieveiligheid zoeken wij een Software Developer. In deze functie zijn wij op zoek naar een slimme en enthousiaste Developer die interesse heeft in farmacie, logistiek en ICT. Daarnaast beschik je over een goed analytisch vermogen en ben je van nature gestructureerd en resultaatgericht. Je moet in deze functie daadkrachtig, flexibel en communicatief goed zijn. Je verantwoordelijkheden bestaan uit: Object georiënteerd programmeren; Werken in

Bekijk vacature »

Android developer

De functie Schiphol is een plek om te reizen, te verblijven en te werken. Door middel van data en technologie richten we op al deze gebieden het leef- en werkklimaat optimaal in en zorgen we voor een slimmere en efficiëntere operatie. Wij ontwikkelen nieuwe producten en diensten vanuit de wensen en behoeften van onze klanten, voorspellen passagier flows en testen digitale oplossingen om rijen en andere pijnpunten in het proces te verminderen. Met slimme feedback van sensortechnologie maken we zelfs data van toiletten en stoelen inzichtelijk en bruikbaar. Het Commercial Platform bestaat uit multidisciplinaire teams met een end-2-end verantwoordelijkheid voor

Bekijk vacature »

Senior PHP developer met ambities tot Software Arc

Functie Momenteel zijn ze op zoek naar een ervaren PHP developer die zichzelf graag bezighoudt met zaken als architectuur en de algehele verbetering van structuren en standaarden. Het is eigenlijk meer operationeel als uitvoerend omdat je bezig gaat met zaken als het verder uitrollen en verbeteren van testautomatisering, codereviews, tickets en de doorloop hiervan en architectuurkeuzes. Mocht je hiernaast ook wat DevOps kennis meenemen is dit mooi meegenomen! Vanwege het kleine team maar de wereldwijde impact die zij leveren is er veel focus op kwaliteit. In deze functie werk je aan één van hun belangrijkste applicaties. Hierin werk je nauw

Bekijk vacature »

Junior full stack developer

Functie Als full stack developer binnen onze organisatie ga jij je bezig houden met het bouwen van de user experience van de webapplicaties. Je bent verantwoordelijk voor het vertalen van concepten, briefings en designs naar werkende functionaliteit. Hierbij zorg je ervoor dat applicaties betrouwbaar, veilig en toekomstbestendig zijn en een goede architectuur hebben en behouden. Verder denk je actief na- en mee over nieuwe ontwikkelingen en functionaliteiten om zo elke dag de klantervaring weer te verbeteren. Dit doe je natuurlijk niet alleen maar in een development team. Het team bedraagt momenteel 4 man bestaande uit 2 devops engineers en 2

Bekijk vacature »

C# developer

Functie Als ervaren Software Engineer wordt jij verantwoordelijk voor het bedenken en ontwikkelen van technische (maatwerk) oplossingen voor onze klanten en dit samen met de klant af te stemmen. Jij wordt o.a. verantwoordelijk voor de doorontwikkeling het software pakket welke voor ons enorm belangrijk is. Dit pakket zorgt er namelijk voor dat wij complete productielijnen kunnen aansturen en monitoren. Daarnaast heb jij actief contact met onze hoofdvestiging om het software achter een van onze systemen te verbeteren en te herschrijven. Momenteel zijn onze C# applicaties geschreven met o.a. Winforms. Echter hebben wij de actieve ambitie om dit te gaan herschrijven

Bekijk vacature »

Backend Developer PHP Laravel SaaS

Dit ga je doen Het ontwikkelen van nieuwe features die bijdragen aan de groei van de klanten van de organisatie; Je denkt mee over nieuwe innovaties, features en verbeteringen in de applicatiearchitectuur; Je draagt bij aan de continue ontwikkeling van jouw team doordat je elke dag streeft naar het verbeteren van jouw eigen prestaties; Je neemt actief deel aan Scrum meetings en de Backend Guild. Hier ga je werken Voor een snel groeiend bedrijf, in de regio Nieuw Vennep, zijn wij opzoek naar een ervaren Backend Developer. De organisatie is actief in de e-commercebranche en ontzorgt haar klanten middels een

Bekijk vacature »

Mendix Developer

Functie Wat ga je doen als Mendix Developer? We leven in een wereld die snel ontwikkelt en veranderd, ook nemen bedrijfsbelangen toe en blijken risico’s moeilijker in te schatten, daarom wij op zoek naar Junior, Medior en Senior Developers die bedrijven kunnen helpen met hun screeningproces en zorgen dat deze efficiënt en 100 procent AVG compliant is. Het concept achter Mendix is duidelijk. De klant heeft een vraag/probleem. Dit kunnen we door middel van slimme software oplossen. In plaats van te werken met de nieuwste technieken en tools, wordt er gekozen voor het implementeren en maken van software dat op

Bekijk vacature »

Software Developer

Dit ga je doen Ontwikkelen aan de software dat beschikbaar is op de substations; Ontwikkelen in C++, C, Python en JavaScript. Daarnaast op een Embedded Linux omgeving, opgebouwd met containers en DevOps; Meewerken aan cyber security (OWASP); Uitvoeren/bouwen van geautomatiseerde testen in samenwerking met de Quality Specialist; Vertalen van wensen van de klanten/business naar werkbare/duurzame oplossingen. Hier ga je werken Als Software Ontwikkelaar kom je te werken bij een organisatie gericht op de (internationale) energiemarkt, waar wordt gewerkt voor het verwerven en verwerken van realtime, high quality data. Er wordt gewerkt vanuit het hart van de substations en direct voor

Bekijk vacature »
Christian k

christian k

07/03/2014 16:05:56
Quote Anchor link
hallo iedereen,

ik hoorde van een kennis van mij dat het niet veilig is om je wachtwoord
op te slaan met SHA1+ een salt hij zij dat dat achterhaalt is en dat ik crypt() moet gebruiken
maar ik las op het internet dat dat juist achterhaalt is
dus daarom is mijn vraag:
hoe sla je wachtwoorden het beste op in de database?

alvast bedankt voor jullie reacties
 
PHP hulp

PHP hulp

17/11/2024 19:25:34
 
Dos Moonen

Dos Moonen

07/03/2014 16:16:33
Quote Anchor link
Hangt er vanaf hoe je crypt gebruikt. Als je het met een salt voor CRYPT_MD5 gebruikt is het inderdaad niet veilig. Met een salt voor CRYPT_BLOWFISH kan het wel erg veilig zijn. Dat hangt van de cost af die je via de salt instelt.

Ik stel voor dat je password_hash() gebruikt. Voor PHP < 5.5 kun je https://github.com/ircmaxell/password_compat gebruiken. Dan gebruik je het Bcrypt (crypt met blowfish) algoritme.

Het Scrypt algoritme is aan alternatief, maar is wat ingewikkelder om werkend te krijgen.
Gewijzigd op 07/03/2014 16:19:15 door Dos Moonen
 
Christian k

christian k

07/03/2014 16:21:51
Quote Anchor link
dus als ik het zo opsla is het veilig?
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?php
password_hash(sha1($password), PASSWORD_BCRYPT);
?>
 
Dos Moonen

Dos Moonen

07/03/2014 16:28:04
Quote Anchor link
Nee, laat sha1() weg.

http://www.php.net/manual/en/function.password-verify.php gebruik je trouwens om het wachtwoord te controleren.
Gewijzigd op 07/03/2014 16:29:01 door Dos Moonen
 
Christian k

christian k

07/03/2014 16:31:32
Quote Anchor link
waarom? 2 soorten hash op 1 password is toch veiliger? of niet?
 
Dos Moonen

Dos Moonen

07/03/2014 17:05:31
Quote Anchor link
Absoluut NIET!

Rule #1 Do NOT talk about fight club.
Rule #2 Do NOT roll your own crypto.
Rule #3 No really, DO NOT DO IT. You are not a group of experts.

Het is niet veiliger. Het is minder veilig. Een klein beetje minder veilig.
Maar je kunt het nu nog makkelijk weghalen, waardoor het weer ietsjes veiliger is.

Hopelijk maak je door mijn overdreven reactie in de toekomst minder assumpties. De meest recente best practices opzoeken kan nooit kwaad.

https://security.stackexchange.com/ is wel interessant.

PS. mocht je een reden willen: bcrypt(password) is jaren lang getest door experts, bcrypt(sha1(password)) is dat (waarschijnlijk) niet(/minder)
Gewijzigd op 07/03/2014 17:14:00 door Dos Moonen
 
Christian k

christian k

07/03/2014 18:46:49
Quote Anchor link
oke maar ik las dat je bij elke gebruiker het password met een andere code te hashen
maar hoe doe je dat met password_hash?
 
Dos Moonen

Dos Moonen

07/03/2014 20:40:28
Quote Anchor link
Dat doet password_hash() voor je.

Mocht je het om een of andere vreemde reden zelf willen doen, bekijk dan voorbeeld #3: http://www.php.net/manual/en/function.password-hash.php
 
Christian k

christian k

07/03/2014 22:24:04
Quote Anchor link
Ik bedoel stel de user heeft een wachtwoord 'test' en de hash is
Jsk28jskme823
En een andere user heeft ook het wachtwoord 'test' dan is de hash toch hetzelfde
En als je database gestolen is kan de hacker al de password hints zien en weet hij het wachtwoord daarom moet er in de db een unieke code zitten waarmee het wachtwoord word gehasht. Hoe moet dat hier?
 
Dos Moonen

Dos Moonen

08/03/2014 09:28:09
Quote Anchor link
Nee, dat is het fijne van de password_hash() functie. Je kunt precies het zelfde resultaat krijgen met de door je vriend aangeraden crypt() functie, maar dan moet je zelf een salt (een code die per gebruiker uniek is) genereren.

Plus vergelijken van het opgegeven wachtwoord met de opgeslagen hash via password_verify() is niet vatbaar voor timing attacks.

Nogmaals: als je toch zelf een salt wilt genereren (niet aangeraden aangezien meerdere mensen de salt generatie implementatie van password_hash() bestudeerd hebben) bekijk dan voorbeeld #3 op http://www.php.net/manual/en/function.password-hash.php
Gewijzigd op 08/03/2014 09:42:11 door Dos Moonen
 
Christian k

christian k

08/03/2014 11:50:04
Quote Anchor link
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
<?php

function salt($pass, $salt="abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ", $str="")
{
    $pass = str_replace(" ", "", $pass);
    $pass = strrev($pass);

    $arr[0] = strlen($pass);
    $arr[1] = strlen($salt);
    
    while($arr[0] > $arr[1] + 1)
    {
        $salt = $salt.$salt;
        $arr[1] = strlen($salt);
    }

    $split_len = floor(max($arr) / (min($arr) - 1));
    
    $salt = explode(" ", chunk_split($salt, $split_len, " "));
    array_pop($salt);
    $salt = array_reverse($salt);
    
    $j = $arr[0] > count($salt) ? $arr[0] : count($salt);
    
    for($i=0; $i<$j; $i++)
    {
        if(isset($pass{$i}))    $str .= $pass{$i};
        if(isset($salt[$i]))    $str .= $salt[$i];
    }
    
    return $str;
}
?>


ik gebruik al een tijdje deze salt.
kan ik deze ook gewoon gebruiken
met daar password_hash overheen?
 
Dos Moonen

Dos Moonen

08/03/2014 12:59:14
Quote Anchor link
Er gebeuren daar hele vreemde dingen... Rule #2: Do NOT roll your own crypto!

Houd het gewoon bij hash_password($password) (als je niet wilt dat het default algoritme in de toekomst nieuwe hashes met een ander algoritme gaat hashen, dan specificeer je ook nog zelf het algoritme)
Gewijzigd op 08/03/2014 13:15:29 door Dos Moonen
 
Christian k

christian k

08/03/2014 14:45:25
Quote Anchor link
ik heb het script niet zelf gemaakt ik heb het van
http://www.phphulp.nl/php/script/php-algemeen/beveiligde-login-en-registratie/1873/uwx3gphp/1535/
en ik vond het script ook nog ergens anders op het internet
 
Dos Moonen

Dos Moonen

08/03/2014 15:51:24
Quote Anchor link
Dan heb je nu hopelijk geleerd erg sceptisch te kijken naar adviezen die je maar op twee plaatsen hebt kunnen vinden, gegeven door een klein aantal mensen waarvan je niets weet van hun kennis/repuratie, zonder uitleg waarom het zo gedaan wordt.

Vergelijk dat met het advies gegeven op https://security.stackexchange.com/questions/211/how-to-securely-hash-passwords
- goede beargumentatie
- goede repuratie (119k aan repuratie is erg veel)
- advies is gegeven door meerdere mensen (182 votes)

password_hash() is
- toegevoegd aan PHP
- gereviewed door meerdere mensen: https://security.stackexchange.com/questions/16506/security-review-password-hash-implementation-for-php
- is PHP 5.5 ingesteld om standaard Bcrypt te gebruiken (het enige ondersteunde algoritme op het moment, nieuwe algoritme kunnen in nieuwere PHP versies toegevoegd worden)

Bcrypt is bestudeerd door experts en zo'n 10 jaar oud geloof ik. Oud en geen gevonden kwetsbaarheden is een goed iets voor dit soort dingen.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.