PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact

Welk paswoord systeem kiezen / veranderen

Door Jan R op 26-02-2019 10:23
5.113 views
Hi,

Momenteel werk ik met hash('sha512', $pw) voor mijn paswoorden. Is er iets beter en is het de moeite om over te stappen bij een bestaand project.
volgens http://php.net/manual/en/function.hash.php zijn er zo veel mogelijkheden om uit te kiezen maar de sterkte is niet vermeld.

Jan
Ward van der Put
26-02-2019 10:56
Een hash van SHA-512 is redelijk sterk, maar het systeem wordt als geheel veiliger wanneer je er wat zout aan toevoegt:


<?php
$salt = bin2hex(openssl_random_pseudo_bytes(10));
$pw = hash('sha512', $pw . $salt);
?>


De salt (hier met een vaste lengte van 20 karakters) kun je leesbaar opslaan bij de hash van het wachtwoord.
Jan R
26-02-2019 11:15
Bedankt beiden. Ik had ozzie zijn link ook al gevonden maar wachte nog even af.

De vraag blijft. wanneer wijzigen jullie het systeem.
Als het gekraakt is!
Als sites vermelden dat het niet lang meer zal duren


Jan
Ozzie PHP
26-02-2019 11:26
>> Als sites vermelden dat het niet lang meer zal duren

Wat bedoel je precies??
Thomas van den Heuvel
26-02-2019 15:15
Veiligheid van een website is een geheel aan maatregelen, en op sommige heb je niet eens invloed.

De versleuteling van je wachtwoord is slechts één van deze dingen, en draagt in zekere zin helemaal niets / niet zoveel bij aan de algehele veiligheid.

Deze data zitten immers (doorgaans, ga ik hier ook van uit) in je database. Op het moment dat een onbevoegde er in slaagt om toegang te verkrijgen tot je systeem en/of je database dan houdt dat in dat er ergens anders al iets gruwelijk fout is gegaan.
Ozzie PHP
26-02-2019 17:03
Wat Thomas zegt klopt, maar uiteraard moet je gewoon wel een veilige hashing-methode kiezen. Als je een bunker wil beveiligen, zet je er ook geen klein lullig 3-cijferig cijferslotje op. En tegelijkertijd geldt natuurlijk ook, dat je niet ergens het raam open moet laten staan.
Thomas van den Heuvel
26-02-2019 18:05 gewijzigd op 26-02-2019 20:02
Het "cijferslot" (EDIT: of liever gezegd) de cijfercode is in deze beeldspraak nog steeds het daadwerkelijke wachtwoord, de hashing-methode doet er echt niet toe.

Je kunt SHA512 met een salt gebruiken, maar als je wachtwoord "welkom" is of wanneer je deze met een memo aan je monitor plakt omdat deze wel moeilijk te onthouden is gaat je dat echt niet redden.

Hashing van het wachtwoord is enkel bedoeld om het wachtwoord geheim te houden zodat de site/applicatie deze niet kent. Het dient verder geen enkel doel en beschermt een loginmechanisme verder op geen enkele manier...

Pretty much this:
https://www.youtube.com/watch?v=a6iW-8xPw3k

Je cijferslot kan dan onverwoestbaar zijn, maar als de code bagger is is dit nog steeds nutteloos.
Frank Nietbelangrijk
26-02-2019 20:06
Is er ergens een lijstje met stappen die je kunt volgen om de boel dicht te timmeren? Zou wel handig kunnen zijn toch?
Ozzie PHP
26-02-2019 20:31
>> Je kunt SHA512 met een salt gebruiken, maar als je wachtwoord "welkom" is of wanneer je deze met een memo aan je monitor plakt omdat deze wel moeilijk te onthouden is gaat je dat echt niet redden.

Klopt, maar niemand ontkent dat toch? Je zult beiden moeten doen. Tegen een gebruiker die z'n wachtwoord op een spandoek laat afdrukken en achter een vliegtuig hangt is niemand opgewassen. Maar dat spreekt voor zich. Dat wil niet zeggen dat je je hashing gewoon op orde moet hebben.

Reageren

Inloggen om te reageren