Algemeen vraagje.
Hoe loggen jullie(veilig) en automatisch in op een website. Ik bedoel dus niet de eerste keer maar de volgende keren.
1° keer= login + paswoord
2° keer=????
Zelf sla ik wel de login/e-mail op in een koekje maar zeker niet het paswoord. wat me dus niet toelaat om automatisch in te loggen, maar wel om alvast de login in te vullen
Hahaha, jij kan een paard laten lachen. Mij betichten van een slinkse discussietechniek, maar ondertussen ook meteen zeggen dat ik het volledig fout zie en dat jij dus de alleswetende bent. Ik kom, als dat nodig is, gerust terug op wat ik gezegd heb. Jij hebt echter een probleempje met het feit dat iemand jou wat kritische feedback geeft waar je blijkbaar wat moeilijk mee om kunt gaan getuige jouw reacties.
Ik ga me verder niet meer met deze discussie bemoeien, omdat we off-topic gaan, het verder niks bijdraagt en de topicstarter hier niet mee geholpen is.
Ik zou het gewoon beveiligen dat je 2 hashes in een cookie stopt en dat de juiste hashes 1 mogelijke combinatie maken,
mocht een van die hashes geen combinatie kunnen maken, dan word het tijd dat er een nieuwe hash word gemaakt.
Uiteraard alles koppelen aan ip-adres. :)
ik zou bij je user tabel een last ip maken en dan een tabel met ip, randomchars en username (uiteraard uniek)
de randomchars in cookies opslaan.
wanneer een gebruiker terug komt en word er in de cookies de chars opgehaald vergeleken met het database als er een overeenkomst is de gebruikersnaam en ip controleren wanneer ip anders is alsnog om wachtwoord vragen of cookie verwijderen
> wanneer ip anders is alsnog om wachtwoord vragen
En dát vind ik nu juist zo irritant. Mijn laptop staat drie keer per dag ergens anders en het is ongelooflijk vervelend om elke keer opnieuw te moeten inloggen, alleen maar omdat je IP-adres gewijzigd is.
Nog erger wordt het als je met je smartphone in de trein zit en elke anderhalve minuut een ander IP-adres krijgt van het netwerk...
Dan heb je wel een slechte provider bij KPN blijf ik continu het zelfde ip houden zolang ik berijk heb. weet niet hoe snel die trein van jou rijd?.
En het is misschien heel irritant maar wel veilig.
Ieder accesspoint deelt andere IP's uit, dat klopt. Als je van mast naar mast gaat met je mobiel gebeurt hetzelfde.
Ontopic: ik zou gewoon userid + hash gebruiken. Mogelijk zelfs een hash die herleidbaar is naar de password hash. Immers: je geeft toch al beveiliging op door automatisch in te loggen, het heeft totaal geen zin om dit "veilig" te willen maken.
> En het is misschien heel irritant maar wel veilig.
Authenticatie door middel van passwords is per definitie onveilig. Het is een beveiligingsmethode die al jaren achterhaald is. De enige reden dat we nog passwords gebruiken, is omdat het gemakkelijk en goedkoop te implementeren is. Maar als beveiligingsmethode is het driewerf ruk.
En elke drie minuten je wachtwoord invoeren veilig? Vergeet het maar. De kans dat iemand je je wachtwoord ziet invoeren wordt erdoor vergroot, dus het is juist minder veilig dan ingelogd blijven.
