login  Naam:   Wachtwoord: 
Registreer je!
 Reacties op nieuwsbericht:
Waarom MD5 wachtwoorden slecht zijn | Gepost op: 22 januari 2013 - 10:37 | 5 reacties

Dit is een nieuw onderdeel van SiteMasters. In deze serie blogs wil ik dieper ingaan op security issues welke op kunnen treden bij het bouwen van websites. In dit eerste artikel behandelen we het opslaan van wachtwoorden in MD5.

 

Het is booming om de wachtwoorden op te slaan als MD5 in de database. Er zijn hier echter een aantal valkuilen in. Iedereen kent de term 'brute-force'. Naast brute-force is het ook mogelijk om zogenaamde rainbow tabel te gebruiken. Er zijn daarvan een aantal in omloop. En als je het mij vraagt worden die gevoedt door de online password generators / md5 crypters. Pas hiermee op. Het is sneller om even een eigen script hiervoor te maken. Kost een paar minuten.

Brute force

De term brute-force wil eigenlijk alleen maar zeggen: we gaan proberen het wachtwoord te raden. Stel je hebt een vier cijferige code: 7382. Brute force dit wachtwoord zal proberen het als volgt te kraken: 0000, 0001, 0002 etc. Geavanceerde brute-force technieken zijn er iets slimmer in. Met de huidige hardware kost het niet zoveel tijd meer om een brute force uit te voeren. Vooral niet om 4 karakters te raden. 

Rainbow tabel

Rainbow tabellen zijn tabellen welke miljoenen / miljarden woorden bevatten met de daarbij behorende md5 hash. Het is dus heel makkelijk om een hash op te zoeken en vervolgens het daarbij behorende woord bij te zoeken.

Door bovenstaande technieken te gebruiken vertrouw je er op dat de gebruikers moeilijke wachtwoorden gaan verzinnen. Door mijn ervaring weet ik dat je hier gewoonweg niet van uit mag gaan.

Hoe dan wel?

Dat kan je lezen in de tutorial Wachtwoorden opslaan

marten
Beheerder


Pagina:

Offline  anton
Gepost op: 22 januari 2013 - 11:27
Lid



Ik heb zelf ooit eens gelezen ook dat md5 niet 100% veilig is, puur omdat er 2 woorden op de zoveel miljoen die dezelfde md5 hash hebben... Zelf heb ik het nog niet meegemaakt, maar dit wil toch iets zeggen over de veiligheid van md5!

Leuke post!

Offline  marten
Gepost op: 22 januari 2013 - 11:52
Beheerder



Die kans is er 36^32

36 letter / cijfers
32 tekens is een md5 hash.

Offline  Stijn
Gepost op: 22 januari 2013 - 20:04
PHP expert



Citaat:
Het is sneller om even een eigen script hiervoor te maken. Kost een paar minuten.
Ben jij een trage programmeur 

  1. <?php
  2. //file.php?x=mijn geheim wachtwoord
  3. echo md5($_GET['x']);
  4. ?>

Offline  marten
Gepost op: 22 januari 2013 - 21:05
Beheerder



Met formuliertje erbij he Stijn 

Offline  Martijn
Gepost op: 23 januari 2013 - 15:59
Crew PHP



@anton: Dat heet een collision

Pagina:
 
© 2002-2019 Sitemasters.be - Regels - Laadtijd: 0.029s