Door
Han php
op 23-08-2012 21:22
gewijzigd op 23-08-2012 21:23
5.702 views
Hallo wat heeft het voor nut om opgeslagen wachtwoorden te coderen als je ze in de database zet? Ja... Ik weet wel dat het dan heel moeilijk is (onmogelijk als je het goed doet) voor hackers/crackers om de wachtwoorden ooit te ontcijferen.
Het is de webmaster z'n taak om de gegevens van de bezoeker goed te beschermen.
Maar als er emailadresssen, namen, huis adressen etc. in de database staan wordt dat evengoed meegenomen als de gecodeerde wachtwoorden en dan zijn er toch nog gegevens uitgelekt, ookal zijn de wachtwoorden niet te achterhalen.
De hacker kan dan misschien niet inloggen op een account van een gebruiker, maar alles wat er op het account te zien is, staat ook in de database. Ik bedoel niet echt dat het zinloos is om wachtwoorden te coderen, maar als je het zo bekijkt...
Of zit ik nu helemaal fout?
En verder kun je eigenlijk niet de andere gegevens coderen (email, adressen etc.) omdat de gebruiker die anders steeds zou moeten invullen, net als z'n wachtwoord.
Ik gebruik heel vaak hetzelfde wachtwoord. Ik zou het toch niet fijn vinden als een webmaster mijn plain wachtwoord met email adres kon zien en daarmee op twitter, facebook tweakers e.d. kon inloggen.
En nee, ik ga niet overal een ander wachtwoord gebruiken, ik zit op zoveel plekken, dat wordt ondoenlijk. Alleen voor financiele zaken gebruik ik andere wachtwoorden.
Enne, veiligheid begint ermee dat de database niet te benaderen c.q. te hacken is.
Okee dat is een punt, vooral bij bankieren op internet bijvoorbeeld dat pincodes enzo zichtbaar zijn, maar je weet eigenlijk nooit wat er achter de schermen gebeurt op een server. Ookal is een goede webmaster iemand die geheimen kan bewaren.
Okee dat is een punt, vooral bij bankieren op internet bijvoorbeeld dat pincodes enzo zichtbaar zijn, maar je weet eigenlijk nooit wat er achter de schermen gebeurt op een server. Ookal is een goede webmaster iemand die geheimen kan bewaren.
Wat ik wel eens doe als ik het niet vertrouw is op de link voor wachtwoord vergeten klikken. Dan krijg ik een wachtwoord gemaild, als dat het originele wachtwoord is, dan is het helemaal fout.
maar je weet eigenlijk nooit wat er achter de schermen gebeurt op een server
Laat ik eerst een offtopic voorbeeld geven voor de beeldvorming. :)
Je kunt de sleutel op de deur laten zitten dan is het heel makkelijk om binnen te komen. Andere optie is om je auto door de deur te rijden. Geeft het zelfde effect.
Hoewel je het eerste niet logisch vind, en het laatste ook nou niet echt handig..
Als een webmaster/developer de server onder zijn arm meeneemt dan zijn die gegevens ook niet veilig..
Een wachtwoord is niet meer of minder dan een obstakel om er (redelijk) zeker van te zijn dat er een juiste match is om bepaalde dingen te zien/doen.
Beveiliging is meer dan alleen dat ene wachtwoord. Zoals John al aangeeft begint het bij de server. Als je op webmaster/developer niveau bekijkt, dan moet het zo zijn dat alles gecontroleerd moet worden. Daar bedoel ik mee dat dingen afgedwongen moeten worden die jij alleen wenst wat er gebeurd.
Wat ik wel eens doe als ik het niet vertrouw is op de link voor wachtwoord vergeten klikken. Dan krijg ik een wachtwoord gemaild, als dat het originele wachtwoord is, dan is het helemaal fout.
Heb dat ervaren bij postfilter. Hen daarop aangesproken, dat dat onveilig is/lijkt.
Zij beweren dat ze de wachtwoorden wel degelijk beveiligd opslaan, maar dat ze het ook kunnen decoderen...
Heb mijn twijfels. Uitschrijven betekent echter (weer) bergen ongewenste reclame/telefoontjes. Kiezen tussen twee kwaden :(
Ik vind dat als je bij een forum of dergelijke geregistreerd staat dat je er dan wel zeker van wilt zijn dat je gegevens veilig zijn en dat er ook geen een database bouwer jouw wachtwoord kan zien... Dus daarom is het voor privacy redenen ook van belang.
?
Onbekende gebruiker
23-08-2012 22:57
Je bent er nooit zeker van dat een beheerder je paswoord niet kan zien, ook al slaat hij ze gecodeerd op. Uiteindelijk verstuur jij je paswoord ongecodeerd op en wordt het pas verwerkt met bijvoorbeeld md5 op de server. Dat hele traject is je paswoord dus zichtbaar te maken.
Wat dat betreft is er maar een ding goed en dat is met https werken.
Voor mij is toch het belangrijkste: hackers. Een beheerder, die kan als hij echt wil toch altijd een methode vinden om je wachtwoord te ontfutselen. Jammer als dat gebeurd, maar dat weet je op voorhand. Als je dat niet wil, registreer je je beter nergens.
Mijn adres vind ik minder erg dan mijn username/password combo. Uiteindelijk is een adres voor een hacker weinig waard. Hij moet net zijn geld verdienen op het net, niet in real life.
Je kunt je gegevens (adres, telefoon nummer, etc.) ook versleutelen door middel van een key. Zo hebben hackers niks aan de gegevens in de database zonder jouw encryptie-sleutel.
Je kunt je gegevens (adres, telefoon nummer, etc.) ook versleutelen door middel van een key. Zo hebben hackers niks aan de gegevens in de database zonder jouw encryptie-sleutel.
Je bedoelt als webmaster dan? Want als 'gewone' gebruiker kan je hier niet voor kiezen eh :-)
