Hoe kan ik een sha1 wachtwoord uit de database ophalen en ongecodeerd naar de gebruiker sturen? Voor bijvoorbeeld wanneer de gebruiker zijn/haar wachtwoord vergeten is.
Of moet ik echt een nieuw wachtwoord laten aanmaken?
Mvg,
Edward
Ps. Hij komt, hij komt, ..... :p
?
Onbekende gebruiker
05-12-2009 17:26
Nee, kan niet.
Dat is dus juist de bedoeling.
Als het goed is sla je de wachtwoorden ook op met een salt.
?
Onbekende gebruiker
05-12-2009 17:26
Je zult inderdaad echt een nieuw wachtwoord moeten laten aanmaken.
In hoeverre heb ik salt nodig, Karl? Is sha1 niet veilig genoeg?
?
Onbekende gebruiker
05-12-2009 17:36
Sha1 is op zich veilig, maar stel je voor:
Iemand kan geen goede wachtwoorden verzinnen (zoals mijn moeder) en diegene kiest als wachtwoord: "appel"
De hash van het woord "appel" is vrij makkelijk te kraken. Heb je met de bruteforce methode zo gekraakt. In nog geen minuut tijd.
Maar stel, je gaat nu een (standaard) salt toevoegen aan het woord: "@#54SDappel^ABC&$!" (overdreven voorbeeld van een salt). Als je hier de hash van neemt, duurt het veel langer om een match te krijgen met behulp van de bruteforce methode.
Lees voor de grap eens dit wiki artikel door om te begrijpen waarom SHA-1 zogenaamde "one-way-encryption" is.
En als toevoeging op mijn goede vrind Gamer13 moet ik zeggen dat een hash niet alleen voor bruteforce helpt. Wanneer iemand z'n handen weet te leggen kan iemand daar vaak niks mee, aangezien het hashes zijn, niet te decoderen. Echter zijn er op internet genoeg databases te vinden (zoals hier bij md5 gedaan is) waar de waarde van een bepaalde hash snel te vinden is. Echter, "appel" zal daar in staan, maar "*&&8339Jh773JKLKappel" natuurlijk niet ;)
