Hallo,
Allereerst een fijne kerst en een gelukkig nieuw jaar!
Ik heb een leuk concept in gedachte maar ik zit nog even met het login script.
Normaal gesproken is een login belangrijk. Maar niet zo belangrijk dat bijvoorbeeld je bankrekening erachter zit of iets in die richting. Daarom denk ik althans, maakt bijvoorbeeld Rabobank gebruik van de random reader net als veel andere banken.
Maar hoe veilig is het om een wachtwoord van een gebruiker in md5 op te slaan in een database? En is er dan nog verschil tussen Oracle SQL of MySQL enz?
Ik werk zelf graag in PHP en MySQL. Maar is dat wel veilig. Ik weet dat je moet beveiligen tegen sql injecties enz. Maar ik heb er toch altijd een gevoel bij.
Mijn vraag dus wie deelt dit gevoel of heeft hier ervaring mee?
mvg,
T. Barbillion
- Wachtwoorden in database veilig? of toch niet?
-
25-12-2009, 19:49 #1
- Berichten
- 161
- Lid sinds
- 15 Jaar
Wachtwoorden in database veilig? of toch niet?
Laatst aangepast door Thomas Barbillion : 25-12-2009 om 23:14
-
-
25-12-2009, 21:11 #2
- Berichten
- 54
- Lid sinds
- 15 Jaar
Hoi Barbillion,
Ook voor jou een fijne kerst en beste wensen voor het aanstaande nieuwe jaar (en erna natuurlijk ook hé^^)
Een goede hash als sha1 (als ik het goed heb is md5 intussen al achterhaald) en bescherming tegen injections volstaat in de meeste gevallen al wel.
Vergeet wel je sessions niet op IP te locken. (Session Hijacking, zoek even via Google > phpfreakz.nl)
Je kan ook het https:// protocol aanspreken. Daarbij worden alle gegevensoverdrachten versleuteld.
Met al bovenstaand, kom je zeker al een heel eind op weg naar veiligheid toe.
Groetjes,
Tom
-
25-12-2009, 21:17 #3
- Berichten
- 1.053
- Lid sinds
- 17 Jaar
Ja, voor een standaard website is md5 veilig genoeg. Oftewel, het loont niet om tegen een dictonary te gaan matchen. Sowieso moet het waarde hebben voor iemand om een poging te doen de beveiliging te breken, anders zou ik me er niet eens druk om maken. Vaak is een login op een website eerder voor personalisatie dan authentificatie.
-
25-12-2009, 22:07 #4gast12266 Guest
Ik wil even wat invoegen op de reactie van Robert,
MD5 zal ik nu niet meer gebruiken als ik jou was, er zijn verschillende encoders uitgebracht die de md5 onveilig maken.
Ik gebruik nu zelf SHA512 die is een stuk moeilijker te encoden dan md5.
gast12266
-
25-12-2009, 23:12 #5
- Berichten
- 161
- Lid sinds
- 15 Jaar
ok ik zou dus eventueel in sha512 kunnen werken of iets in die richting maar gaat dit dan hetzelfde als
Code:<?php $encrypted_mypassword = md5($mypassword); ?>
alleen dan bijvoorbeeld
Code:<?php $encrypted_mypassword = sha($mypassword); ?>
Aanvullend bericht:
Maar stel nou he dat ik met SHA niet voldoende werkt..
je moet rekening houden dat mijn concept echt goed beveiligd moet zijn eigenlijk heel goed dit word voor hackers namelijk erg gewild!
grLaatst aangepast door Thomas Barbillion : 25-12-2009 om 23:17 Reden: Automatisch samengevoegd.
-
25-12-2009, 23:21 #6
- Berichten
- 89
- Lid sinds
- 16 Jaar
Nee dat is net iets anders:
<?
$encrypted_mypassword = hash("sha512", $mypassword);
?>Laatst aangepast door gast14653 : 25-12-2009 om 23:28
-
25-12-2009, 23:25 #7
- Berichten
- 161
- Lid sinds
- 15 Jaar
<?
$encrypted_mypassword = hash("sha512", $mypassword);
?>
Code:overal include ipv session_start() <?php // session.inc.php session_start(); ini_set('session.save_path', '/home/sijmen/tmp'); ini_set('session.name', 'hash'); # try to hide the session name.. if (!isset($_SESSION['ip'])) $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; if ($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']; trigger_error("Session Hijacking detected!", E_USER_WARNING); ?>
Nu nog het https protocol aanspreken even zoeken hoor!:PLaatst aangepast door Thomas Barbillion : 25-12-2009 om 23:26 Reden: Automatisch samengevoegd.
-
25-12-2009, 23:27 #8
- Berichten
- 89
- Lid sinds
- 16 Jaar
<?
$first = hash("sha512", $mypassword);
$encrypted_mypassword = md5($first);
?>
Zo kan het ook dan word je sha512 nog is ge md5`t
-
25-12-2009, 23:28 #9
- Berichten
- 161
- Lid sinds
- 15 Jaar
Je kan ook het https:// protocol aanspreken. Daarbij worden alle gegevensoverdrachten versleuteld.
http://wiki.phpfreakz.nl/Invoer_validatie
Aanvullend bericht:
<?
$first = hash("sha512", $mypassword);
$encrypted_mypassword = md5($first);
?>
Zo kan het ook dan word je sha512 nog is ge md5`tLaatst aangepast door Thomas Barbillion : 25-12-2009 om 23:29 Reden: Automatisch samengevoegd.
-
25-12-2009, 23:31 #10
- Berichten
- 89
- Lid sinds
- 16 Jaar
Nee https is een beveiligde verbinding google maar is op hoe werkt https dan zie je vanzelf wel iets dat wat jij hebt is aleen om te controleren of er in een form een geldig email, sofi nummer noem maar op word ingevoerd
-
25-12-2009, 23:32 #11
- Berichten
- 161
- Lid sinds
- 15 Jaar
wat jij hebt is aleen om te controleren of er in een form een geldig email, sofi nummer noem maar op word ingevoerd
Aanvullend bericht:
gevonden maar ik ga tukke fijne avond nog!
http://www.whelp.nl/https-ssl/
grLaatst aangepast door Thomas Barbillion : 25-12-2009 om 23:34 Reden: Automatisch samengevoegd.
-
25-12-2009, 23:36 #12
- Berichten
- 89
- Lid sinds
- 16 Jaar
Maar ik kan je alvast vertellen als je Https gaat gebruiken heb je een ondertekend certificaat nodig zodat mensen zig ook veilig voelen en ik heb zon vermoeden dat zon certificaat nog allicht wel 200 euro per jaar kan gaan kosten (kan er naast zitten hoor maar het is een gokje)
-
25-12-2009, 23:38 #13
- Berichten
- 161
- Lid sinds
- 15 Jaar
ok ja dan hoeft dat misschien niet in eerste instantie eerst maar is geld binnen halen met het concept bedankt voor de hulp fijne avond!
-
26-12-2009, 00:11 #14
- Berichten
- 83
- Lid sinds
- 17 Jaar
MD5 is onomkeerbaar, dus de hacker kan in geen mogelijk je hash weer omzetten naar de orginele staat. wel zijn databases op het internet die bij een hoop woorden de bijkomende md5 hebben. maarja, dan moet je de klant maar misschien verplichten letters/cijfers te gebruiken in het wachtwoord.
Tevens moet je er ook voor zorgen dat je php structuur veilig is. vooral met forms moet je uitkijken dat een buitenstaander geen php code kan uitvoeren op jouw server en door middel daarvan je database informatie kan ophalen of verwijderen.
-
26-12-2009, 00:20 #15
- Berichten
- 161
- Lid sinds
- 15 Jaar
ja precies dat zijn dus die sql injecties enz.. mja in principe is werken met sha wel een van de veiligere manieren ipv van md5?
en wat er net gezegt werd er net gezegt werd over dat eerst sha en dan md5 is dat handig? veiliger?
gr
Plaats een
- + Advertentie
- + Onderwerp
Marktplaats
Webmasterforum
- Websites algemeen
- Sitechecks
- Marketing
- Domeinen algemeen
- Waardebepaling
- CMS
- Wordpress
- Joomla
- Magento
- Google algemeen
- SEO
- Analytics
- Adsense
- Adwords
- HTML / XHTML
- CSS
- Programmeren
- PHP
- Javascript
- JQuery
- MySQL
- Ondernemen algemeen
- Belastingen
- Juridisch
- Grafisch ontwerp
- Hosting Algemeen
- Hardware Info
- Offtopic