login  Naam:   Wachtwoord: 
Registreer je!
 Nota's op tutorial:

Tutorials > PHP > Wachtwoorden opslaan
Pagina:

Reacties op de tutorial Wachtwoorden opslaan


Offline  Martijn
Gepost op: 22 januari 2013 - 15:14
Crew PHP

Wat ik hier niet bij zie staan, is de afweging van performance. Als jij bijvoorbeeld 100 logins per minuut hebt, is dit ontzettend zwaar om uit te voeren (vooral die for-loop).
Veiligheid is 1, maar in de afweging moet ook voorkomen hoe zwaar je iets kunt maken 

Offline  marten
Gepost op: 22 januari 2013 - 15:41
Beheerder

Die for loop is wel extreem natuurlijk met 10000 x. 10x zal ook volstaan. Als je beide maar gelijk hebt.

Offline  fluaju
Gepost op: 23 januari 2013 - 09:17
IRC nerd

Een bronvermelding zou wel mooi zijn als je code zomaar overneemt van een andere website.

Edit: Bedankt. Trollgedeelte van m'n post ook verwijderd.

Offline  marten
Gepost op: 23 januari 2013 - 09:27
Beheerder

Bedankt voor het melden. Heb het toegevoegd. De code is een manier van de duizenden.

Offline  Martijn
Gepost op: 29 januari 2013 - 12:37
Crew PHP

Afgezien van mijn vorige post, zou het ook niet handig zijn als je hier een paar functies van maakt? createSalt(), createHash(), checkHash(), iets in die richting. Maakt mijnsziens de code makkelijker leesbaar en in kleinere blokjes.

Offline  Thomas
Gepost op: 10 oktober 2013 - 10:53
Moderator

Crypting is in dit geval een beetje een verwarrend begrip, omdat dit veel lijkt op encryptie. Wat je waarschijnlijk bedoelt is hashing. Het verschil tussen encryptie en hashing is dat een ge-encrypt wachtwoord terugvertaald (ge-decrypt) kan worden naar het origineel, bij hashing kan dit niet - zoveel staat ook kort beschreven in het artikel waar naar gerefereerd wordt op alias.io.

Salt en wachtwoord hoef je ook niet per se bij elkaar op te slaan in een database. Je zou zelfs je inlogroutine zo kunnen maken dat tijdens het inloggen de salt bij een gebruikersnaam wordt opgehaald (indien gebruikersnamen niet publiek bekend zijn, uiteraard) via een AJAX-call ofzo. En in geval van een niet-bestaande gebruikersnaam geef je een nep-salt door .

Het zal ongetwijfeld zo zijn dat MD5 niet echt meer veilig is vandaag de dag, maar dat komt waarschijnlijk ook doordat een met MD5 gehasht wachtwoord vaak een van de weinige of zelfs de enige veiligheidsvoorziening is... In de meeste gevallen kan dit nog steeds afdoende zijn (correct me if I'm wrong) MITS er extra voorzieningen aanwezig zijn (beperkt aantal keren inloggen, logging et cetera). Maar als je de keuze hebt om iets nieuws te maken kun je wellicht beter SHA1 o.i.d. gebruiken. Daarnaast is het maar net hoe veilig alles moet zijn... Je zou ook alles (naast een veilige inlogmethode) achter HTTPS+een veiligheidscertificaat kunnen stoppen... Tis maar net hoeveel veiligheid mag kosten.

En de laatste "line of defense" is nog steeds de gebruiker zelf. Als die slordig omspringt met authorisatiecodes et cetera is daar weinig tegen opgewassen.

Pagina:

Enkel aanvullende informatie is welkom. Geen prijzende of afkeurende reacties.
 
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.014s