Hallo,

Ik heb zojuist een duidelijk voorbeeld gezien van een database die wachtwoorden in plain-text opslaat.
Het is ook nog eens vanuit een brakke source opgebouwd, wat dus veel mogelijke veiligheidslekken met zich mee brengt.

Wat vinden jullie ervan? De eigenaar geeft de reden; ik gebruik het voor onderzoek op het account.

Wachtwoorden hashen (en salten) of lekker plain-text opslaan?

Als ik eerlijk ben, ik zou me nooit en te nimmer inlaten in een product met ongehashte wachtwoorden. Al was het alleen al vanuit een beroepsaansprakelijkheid standpunt.

Ik zou gewoon aan je cliënt opdrachtgever aanraden de wachtwoorden te salten en hashen. SHA1 of beter, maar beter beter want SHA1 loopt op z'n einde.

Verder is de reden nogal onzinnig m.i.; wij leveren bij al onze pakketten -indien gewenst- een 'inloggen als' optie in gebruikerslijsten. (Met een stukje authorizatie er achter natuurlijk). Zoiets lijkt me een beter alternatief?

--Henry

Salten en hashen ongetwijfeld. Beetje slecht excuus van de eigenaar.