Sloveense universiteit verbiedt SQL-gerelateerde woorden in wachtwoorden

Toegevoegd door - Ariën -, 3 maanden geleden

Sloveense universiteit verbiedt SQL-gerelateerde woorden in wachtwoordenBij het aanmaken van een wachtwoord voor het digitale portaal dienen medewerkers en studenten van de Universiteit van Ljubljana rekening te houden met beperkingen op bepaalde woorden en karakters. Zo is het niet toegestaan om termen zoals script, select, insert, update, delete, en drop te gebruiken, evenals de karakters --, ', /* en */. Deze beperkingen zijn van toepassing vanwege de potentiële veiligheidsrisico's die gerelateerd zijn aan databasecommando's en karakters die kunnen leiden tot aanvallen zoals cross-site scripting en SQL-injectie.

Het digitale portaal wordt gebruikt door meer dan 6.000 medewerkers en 39.000 studenten van de universiteit. Er rijst echter bezorgdheid over de beveiligingsmaatregelen, aangezien het niet duidelijk is of de universiteit de wachtwoorden opslaat in een onomkeerbare hash of een specifieke vorm van encryptie gebruikt. Het is momenteel niet bekend of de technische experts van de universiteit zich bewust zijn van de mogelijkheid dat deze benadering mogelijk niet afdoende is om effectief bescherming te bieden tegen SQL-injectie.

Bron: Security.nl

Gerelateerde nieuwsberichten

19/02/2014 Veelgebruikte wachtwoorden raken uit de mode
30/06/2012 Vodafone versleutelt wachtwoorden niet
19/04/2012 Nog steeds 140.000 Macs besmet

 

Er zijn 2 reacties op 'Sloveense universiteit verbiedt sqlgerelateerde woorden in wachtwoorden'

PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Ad Fundum
Ad Fundum
3 weken geleden
 
0 +1 -0 -1
Het helpt natuurlijk voor geen meter tegen SQL-injectie, tenzij de backend bugs bevat.

Maar het weren van gewone woorden zoals 'select', 'update' en 'delete' uit wachtwoorden is common practice, om brute force aanvallen tegen te gaan waarbij woordenboeken worden gebruikt om de aanvalskans te vergroten.
- Ariën  -
- Ariën -
3 weken geleden
 
0 +1 -0 -1
Ik kwam ooit een een mooi voorbeeld van bad-practice tegen waarin iemand inderdaad woorden zoals 'select', 'update', 'delete' maar ook 'where' blokkeerde in zijn SQL-query. Toen ging hij opeens klagen dat 'Purmerend Overwhere' niet geplaatst werd in zijn database. :-)

Om te reageren heb je een account nodig en je moet ingelogd zijn.

Labels

PHP nieuws opties

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.