Hallo,

Allereerst een fijne kerst en een gelukkig nieuw jaar!

Ik heb een leuk concept in gedachte maar ik zit nog even met het login script.

Normaal gesproken is een login belangrijk. Maar niet zo belangrijk dat bijvoorbeeld je bankrekening erachter zit of iets in die richting. Daarom denk ik althans, maakt bijvoorbeeld Rabobank gebruik van de random reader net als veel andere banken.

Maar hoe veilig is het om een wachtwoord van een gebruiker in md5 op te slaan in een database? En is er dan nog verschil tussen Oracle SQL of MySQL enz?

Ik werk zelf graag in PHP en MySQL. Maar is dat wel veilig. Ik weet dat je moet beveiligen tegen sql injecties enz. Maar ik heb er toch altijd een gevoel bij.

Mijn vraag dus wie deelt dit gevoel of heeft hier ervaring mee?

mvg,

T. Barbillion

Hoi Barbillion,


Ook voor jou een fijne kerst en beste wensen voor het aanstaande nieuwe jaar (en erna natuurlijk ook hé^^)

Een goede hash als sha1 (als ik het goed heb is md5 intussen al achterhaald) en bescherming tegen injections volstaat in de meeste gevallen al wel.

Vergeet wel je sessions niet op IP te locken. (Session Hijacking, zoek even via Google > phpfreakz.nl)

Je kan ook het https:// protocol aanspreken. Daarbij worden alle gegevensoverdrachten versleuteld.


Met al bovenstaand, kom je zeker al een heel eind op weg naar veiligheid toe.


Groetjes,
Tom

Ja, voor een standaard website is md5 veilig genoeg. Oftewel, het loont niet om tegen een dictonary te gaan matchen. Sowieso moet het waarde hebben voor iemand om een poging te doen de beveiliging te breken, anders zou ik me er niet eens druk om maken. Vaak is een login op een website eerder voor personalisatie dan authentificatie.

Ik wil even wat invoegen op de reactie van Robert,
MD5 zal ik nu niet meer gebruiken als ik jou was, er zijn verschillende encoders uitgebracht die de md5 onveilig maken.
Ik gebruik nu zelf SHA512 die is een stuk moeilijker te encoden dan md5.

gast12266

ok ik zou dus eventueel in sha512 kunnen werken of iets in die richting maar gaat dit dan hetzelfde als

Code:

<?php
$encrypted_mypassword = md5($mypassword);          
?>

??

alleen dan bijvoorbeeld

Code:

<?php
$encrypted_mypassword = sha($mypassword);          
?>

??
Aanvullend bericht:
Maar stel nou he dat ik met SHA niet voldoende werkt..

je moet rekening houden dat mijn concept echt goed beveiligd moet zijn eigenlijk heel goed dit word voor hackers namelijk erg gewild!

gr

Nee dat is net iets anders:

<?
$encrypted_mypassword = hash("sha512", $mypassword);
?>

<?
$encrypted_mypassword = hash("sha512", $mypassword);
?>

ok! inmiddels dat session hijacking ook al gevonden

Code:

overal include ipv session_start()
<?php
// session.inc.php
session_start();
ini_set('session.save_path', '/home/sijmen/tmp');
ini_set('session.name', 'hash'); # try to hide the session name..
if (!isset($_SESSION['ip']))
  $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
if ($_SESSION['ip'] != $_SERVER['REMOTE_ADDR'];
  trigger_error("Session Hijacking detected!", E_USER_WARNING);
?>

Aanvullend bericht:
Nu nog het https protocol aanspreken even zoeken hoor!:P

<?
$first = hash("sha512", $mypassword);
$encrypted_mypassword = md5($first);
?>
Zo kan het ook dan word je sha512 nog is ge md5`t

Je kan ook het https:// protocol aanspreken. Daarbij worden alle gegevensoverdrachten versleuteld.

ik heb het denk ik gevonden! word dit bedoeld?

http://wiki.phpfreakz.nl/Invoer_validatie
Aanvullend bericht:

<?
$first = hash("sha512", $mypassword);
$encrypted_mypassword = md5($first);
?>
Zo kan het ook dan word je sha512 nog is ge md5`t

dat gaat me te ver want welke waarde moet ik me veld dan meegeven in phpmyadmin? md5?

Nee https is een beveiligde verbinding google maar is op hoe werkt https dan zie je vanzelf wel iets dat wat jij hebt is aleen om te controleren of er in een form een geldig email, sofi nummer noem maar op word ingevoerd

wat jij hebt is aleen om te controleren of er in een form een geldig email, sofi nummer noem maar op word ingevoerd

ok ja dat snap ik maar ik dacht dat hij dat bedoelde
Aanvullend bericht:
gevonden maar ik ga tukke fijne avond nog!
http://www.whelp.nl/https-ssl/
gr

Maar ik kan je alvast vertellen als je Https gaat gebruiken heb je een ondertekend certificaat nodig zodat mensen zig ook veilig voelen en ik heb zon vermoeden dat zon certificaat nog allicht wel 200 euro per jaar kan gaan kosten (kan er naast zitten hoor maar het is een gokje)

ok ja dan hoeft dat misschien niet in eerste instantie eerst maar is geld binnen halen met het concept bedankt voor de hulp fijne avond!

MD5 is onomkeerbaar, dus de hacker kan in geen mogelijk je hash weer omzetten naar de orginele staat. wel zijn databases op het internet die bij een hoop woorden de bijkomende md5 hebben. maarja, dan moet je de klant maar misschien verplichten letters/cijfers te gebruiken in het wachtwoord.

Tevens moet je er ook voor zorgen dat je php structuur veilig is. vooral met forms moet je uitkijken dat een buitenstaander geen php code kan uitvoeren op jouw server en door middel daarvan je database informatie kan ophalen of verwijderen.

ja precies dat zijn dus die sql injecties enz.. mja in principe is werken met sha wel een van de veiligere manieren ipv van md5?

en wat er net gezegt werd er net gezegt werd over dat eerst sha en dan md5 is dat handig? veiliger?

gr