hoi ik ben een online administratie programma aan het maken voor een kennis.
nu ben ik bijna klaar ik moet alleen nog even een inlogscriptje maken.
nu is mijn vraag wat is de veiligste methode om een pagina met een gebruikersnaam en wachtwoord te beveiligen ik heb al naar md5 gekeken maar dat lijkt mij niet echt 100% veilig weet iemand iets beters.
p.s: het script draait over een SSL verbinding want we hebben er een certificaat voor aangevraagd en het gaat om 1 account dat hoeft inteloggen.
Het is niet zozeer de hash van het wachtwoord wat er een veilig systeem van maakt. Dat is alleen om te voorkomen dat de wachtwoorden clear in de database staan... het is meer het script wat het tot een veilig systeem maakt.
Maar je hebt opzich wel gelijk, md5 is niet een van de veiligste hashing methode. sha1() is al iets beter, maar je zou natuurlijk ook een combinatie kunnen maken, of zelf iets in elkaar kunnen knutselen.
ok bedankt.
Ik zat ook te denken om de hele database te encrypten en als men dan het juiste wachtwoord invoerd het te decrypten. zou dit nut hebben of is dit niet haalbaar??
Encrypten en decrypten van alles in de database is wellicht een beetje overdreven... Als jou systeem zo zwak is dat iedereen alles uit de database kan halen dan moet het ook geen probleem zijn om dat te decrypten.
Maareh, je kan beter naar andere dingen kijken. Werk niet met cookies en zet geen gegevens in een sessie zoals een userid/wachtwoord etc. Het enige wat je in een sessie zet is een unieke code (evt. gesha1()ed), die schrijf je ook weg in de database. Bij iedere f5 controlleer je die code en vervang hem door een nieuwe. Neem daarin ook bijv. het ipadres mee en je komt een heel eind.
het lijkt misschien wel overdreven maar de omzet van de webshop die er aangekoppelt is wordt er in opgeslagen vandaar misschien het overdreven beveiligings gezeur
Beveiligingsgezeur is nooit overdreven. Ik vind het zelf ook erg belangrijk en sla er wel eens in door... dan controlleer ik alles eventjes dubbel, maar liever te vaak dan te weinig.
Punt blijft, je kan nog zo'n mooi veilig wachtwoord verzinnen... maar als ik kan inloggen met test' OR 'a' = 'a dan heeft dat alsnog geen nut.
het hele administratie programma draait sowieso over SSL daar hebben we het certificaat voor, mar bedankt voor de hulp ik heb het uitgezocht en nu werkt hij precies zoals ik wil
