Maar Thomas, geloof me, één sha1 of één md5 of één sha512 is voldoende hoor;-)
Je kan ze natuurlijk nestelen. vb. $pass = sha512 ( sha1 ( md5 ( $string ) ) );
Maar dat zal je meer laadtijd in beslag nemen dan nodig.

En niet voor het een of ander, maar je moet er ook niet vanuit gaan dat je website gewild zal zijn door hackers tenzij er met veel geld en héél belangrijke gegevens gegooid wordt backstage.

Origineel gepost door gast14653

<?
$first = hash("sha512", $mypassword);
$encrypted_mypassword = md5($first);
?>
Zo kan het ook dan word je sha512 nog is ge md5`t

Waarom dan niet meteen zo;

PHP Code:

<?
$encrypted = md5(hash("sha512", "waarde"));
?>

Ik snap niet waarom niemand iets heeft gezegd over het gebruiken van een salt?
Dat is toch weer een stukje veiliger als het gaat om wachtwoorden.
Een salt is een stukje persoonlijke tekst die je toevoegt aan een wachtwoord.
Je kunt er bijvoorbeeld voor kiezen om iemand zijn geboortedatum als salt te pakken.. of zijn gebruikersnaam.
Dan zou je dit doen:

PHP Code:

<?php
$mijnsalt = "08/12/2009";
$wachtwoord = md5("je wachtwoord".$mijnsalt);
?>

Dit maakt het al wat moeilijker om de wachtwoorden te achterhalen. Want dan zouden ze je salt moeten weten ;)

Wat de heer Yilmaz zegt, werken met een salt, is vele malen effectiever dan dubbele hashes. Daarnaast zit de beveiliging vaak niet in de opslag van de gegevens, maar in de rest van de site. Zorg dus dat je je goed indekt tegen XSS en MySQL injecties.

Dit is inderdaad een ook zeer mooie oplossing (y)

ok nou ik ga het proberen tegen die tijd dat ik klaar ben is het misschien wel leuk om het eerst door jullie te laten tesgen. jullie horen nog van me mvg,

T. Barbillion

https is sowieso aan te raden als je met paswoorden werkt, al is het niet alijtd direct mogelijk. Ik snap wel dat 200 euro voor een certificaat een serieuze kost kan zijn :). Je moet wel even nadenken over de nood aan absolute integriteit van de gebruikersgegevens en dan de kosten afwegen.

Je moet weten dat als je wachtwoorden laat invullen, deze nog altijd in clear/text worden verstuurd over het internet.. Man in the middle of sniffen,bvb, is dus ook mogelijk. PHP is een serverside-taal , dus het hashen en salten zal zich pas voordoen zodra de data aankomt op de server. Tenzij je met een javascript hasher werkt ofzo.