Beste,

Voor het beveiligen van mijn login gebruik ik nu md5.
Is dit nog veilig genoeg of toch beter een SHA-1 gebruiken.

MD5 en SHA-1 zijn beide niet echt een aanrader volgens deze Stackoverflow.

http://stackoverflow.com/questions/3...a256-or-sha512

Allebei niet :)

Wat je moet doen is een cryptografisch salt gebruiken, die voor je wachtwoord plakken en dan hashen met iets zoals sha-256.
Die salt moet je 32-64 bytes lang maken of bij voorkeur even lang als je hash output.

Of gewoon bcrypt!

Origineel gepost door Thomas Schiet

Of gewoon bcrypt!

Maar de functie password_hash() die bcrypt kan gebruiken zit volgens mij pas in php vanaf versie 5.5.

Voor compatibiliteit met de password_ * functies onder 5.4/5.3:
https://github.com/ircmaxell/password_compat

Klopt inderdaad, John. Als je mogelijkheid hebt tot bcrypt, zou je dat in principe gewoon moeten gebruiken in plaats van SHA.

Een hash met een salt is nog niet zo erg eigenlijk, zolang die salt maar lang genoeg is, niet gebaseerd op de default rand() functie en uniek is voor elke password.

Op het moment dat iemand je salt voor een specifiek password te pakken kan krijgen, heeft ie al access tot een priviliged deel van je database, dus maakt het in feite al niet meer uit.

Ben ik het mee eens. Het is veel belangrijker je beveiliging goed op orde te hebben op andere vlakken. Je wachtwoorden goed beveiligen is maar een heel klein deel, dat je überhaubt pas nodig hebt als het eigenlijk al te laat is.