sha256 vs bcrypt

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Technical Asset Specialist Substations

TenneT is growing fast to realize its strategic ambitions. We play a leading role in driving the energy transition. We are looking for a passionate Technical Asset Specialist for substations (onshore and offshore) at our location in Arnhem who will contribute to this and that might be you? Your contribution to TenneT We are searching for a motivated and engaged colleague as a technical asset specialist (onshore and offshore) for instrument transformers and surge arresters, with preferably a strong background in the area of insulation coordination. As a specialist for insulation coordination you are responsible for overarching topics regarding insultation

Bekijk vacature »

Senior/Lead Python developer

Functie Samen met je team, bestaande uit een senior, 2 mediors en één junior ontwikkelaar ga je op een Agile-gebaseerde aanpak werken aan hun software. Je hebt oog voor kwaliteit, risico’s en klantbelang. Communicatie met je collega’s en waar nodig ook met klanten speelt een belangrijke rol in het bereiken van een succesvol resultaat. Als persoon ben je slim, krijg je dingen voor elkaar en ga je resultaatgericht te werk. Binnen het development team is er veel zelfstandigheid, los van de stand-up (10:00 uur) en zo nu en dan pair-programming sessies. Technieken die zij gebruiken zijn o.a. Python, Django, MySQL,

Bekijk vacature »

Senior front end developer Digital Agency Amsterda

Functie Wij werken in multidisciplinaire teams aan verschillende projecten, echter blijf je niet gebonden aan 1 team. Dit houdt in dat wij verschillende specialisten in dienst hebben en deze door middel van een roulatiesysteem in multidisciplinaire teams laten werken. Het team bestaat vaak uit Frontend developer(s), Backend Developer(s), Designer(s), Tester(s) en Mobile Developer(s). Deze teams worden afgewisseld waardoor jij de mogelijkheid krijgt om met iedereen een keer samen te werken. Als Frontend Developer ben jij ónze Specialist op dit gebied. Jij werkt mee aan verschillende projecten voor verschillende klanten. Denk bijvoorbeeld aan klanten, zoals’; BAM, IDFA en Ultimaker. Hierbij zorg

Bekijk vacature »

Traineeship Full Stack .NET Developer

Dit ga je doen Start op 7 augustus 2023 bij de Experis Academy en ontwikkel jezelf tot een gewilde Full Stack .NET Developer. Maar hoe ziet het traineeship eruit en wat kun je verwachten? Periode 1 De eerste 3 maanden volg je fulltime, vanuit huis, een op maat gemaakte training in teamverband. Je leert belangrijke theorie en krijgt kennis van de benodigde vaardigheden en competenties die nodig zijn om de IT-arbeidsmarkt te betreden. Zowel zelfstandig als in teamverband voer je praktijkopdrachten op het gebied van front- en backend development uit. Wat er per week op het programma staat kun je

Bekijk vacature »

Low code Developer

Dit ga je doen Je richt je op het doorontwikkelen van bestaande applicaties en het geheel van scratch af aan opzetten van nieuwe applicaties binnen een low code platform; Je beoordeelt technisch ontwerpen en maakt de vertaalslag naar de technische oplossingen binnen het platform; Je voert testwerkzaamheden uit; Je adviseert de organisatie op jouw vakgebied; Je schakelt met business analisten en de architect om tot mooie oplossingen te komen; Je lost bugs op en denkt mee over een structurele oplossing. Hier ga je werken Het gaat om een bekend internationaal handelsbedrijf met ruim 800 medewerkers, verdeeld over verschillende deelbedrijven. Deze

Bekijk vacature »

Medior PHP Developer

Functie omschrijving We are looking for a dutch native speaker Wil jij als developer werken bij een interne organisatie en de eigen software verder helpen ontwikkelen? Lees dan snel verder! In deze functie ga je werken als PHP Developer en de interne software en applicaties verder ontwikkelen. In het kort houdt dit in: Je gaat de interne applicaties en software verder optimaliseren. Verder bouw je verschillende API's en koppelingen tussen systemen. Je gaat het CRM-systeem door middel van PHP verder ontwikkelen. Ook ga je collega's ondersteunen bij vragen over de software en applicaties. Bedrijfsprofiel Dit bedrijf is actief in het

Bekijk vacature »

Fasttrack learning & development voor Java dev

Wat je gaat doen: Wij zoeken enthousiaste en ambitieuze junior en medior ontwikkelaars die toe zijn aan de volgende stap in hun carrière. Wij helpen je op je pad naar senior ontwikkelaar door ons fasttrack learning en development programma. Na een kort en intensief programma ga jij aan de slag bij klanten van DPA. Daarnaast krijg je veel ruimte om je te ontwikkelen als persoon en als specialist. De eerste maand gaan we aan de slag om je certificeringen te behalen waaronder OCP (Oracle Certified Professional). Daarnaast nemen we een deepdive in Spring Boot. Ook laten we je kennismaken met

Bekijk vacature »

Junior Software Developer C# Verhuursector Verhuur

Samengevat: Wij ontwikkelen en leveren softwaresystemen voor de logistieke sector en de verhuursector. Ben jij geschikt als Junior Software Developer? Heb je ervaring met Delphi? Vaste baan: C# Software Developer Logistiek HBO €2.500 - €3.900 Deze werkgever is een software ontwikkelaar, gericht op software voor de logistieke sector. Deze werkgever heeft eigen producten ontwikkelen en leveren ook maatwerk. Ons bedrijf kent een boeiende en inspirerende werkomgeving met een open cultuur en mogelijkheden voor je verdere ontwikkeling. Bij bij hun werk je aan onze eigen bedrijfsapplicaties. Je ontwikkelt met ons de meest nieuwe software. Wij blinken uit als het gaat om

Bekijk vacature »

Database Developer

Functieomschrijving Heb jij ongeveer 3 jaar ervaring als Database Developer met MS SQL of een vergelijkbare database? Wil jij werken voor een ambitieuze werkgever in regio Tilburg waar jij volledig de mogelijkheid krijgt jezelf te ontwikkelen? Lees dan snel verder! Hoe ziet jouw takenpakket eruit? Je gaat projecten gedurende het hele proces begeleiden. Je sluit aan bij afspraken met klanten om hun processen helder te krijgen. Vervolgens voer jij het project uit en zorgt dat dit zo goed mogelijk verloopt; Je werkt aan nieuwe softwareoplossingen die de logistieke processen verbeteren of vernieuwen; Je houdt je bezig met het ontwikkelen van

Bekijk vacature »

Robot Programmeur

Een verantwoordelijke baan met leuke uitdagingen. Heb jij ervaring met het programmeren van robots? Kan jij goed samenwerken met collega's die verschillende specialisaties hebben? Ben je oplossingsgericht, analytisch en flexibel? Ga dan aan de slag als Robot Programmeur bij Gibas in Nijkerk! Als Robot Programmeur kom je te werken bij Gibas. Dat betekent dat je gegarandeerd meewerkt aan unieke oplossingen in productieprocessen. Bij elk project moet er opnieuw geëngineerd en geprogrammeerd worden. Dat maakt jouw werk uitdagend! Voordat je robots gaat programmeren komt er het volgende bij kijken: De opdracht gaat van de afdeling Sales naar de afdeling Operations door

Bekijk vacature »

Front-end Developer (HTML/CSS, Angular/React/Vue,

Functie Je zal aan de slag gaan in een klein, hecht team met front-end development experts die de ambitie delen mooi werk te leveren. Samen met hen zal je werken aan het gebruiksvriendelijk en interactief maken van complexe webapplicaties, websites en mobile apps. Je levert klanten wat ze nodig hebben terwijl je actief aan jezelf blijft werken met de ondersteuning vanuit je werkplek. Talen als Javascript programmeer jij vloeiend en je hebt kennis van frameworks als React en Angular. Je zou je het liefst nog veel meer ontwikkelen in verschillende front-end talen. Deze kennis deel je graag met je collega’s,

Bekijk vacature »

APEX Ontwikkelaar in een team van Oracle Developer

Bedrijfsomschrijving Wij zijn op zoek naar een APEX Ontwikkelaar om onze opdrachtgever in Den Haag te versterken. In deze rol zul je verantwoordelijk zijn voor het ontwikkelen en onderhouden van de front-end van onze applicaties met behulp van Oracle Application Express (APEX). Je werkt aan zowel inhouse als externe projecten. De sfeer binnen het Oracle team is gemoedelijk en men probeert elkaar te helpen én van elkaar te leren. Zo ontstaat er een prettige en plezierige werksfeer waar ruimte is voor persoonlijke ontwikkeling en groei. Er wordt gewerkt met de meest nieuwe technologieën waardoor je kennis up-to-date blijft. Het bedrijf

Bekijk vacature »

Senior Front-end Developer

Dit ga je doen Met behulp van diverse programmeertalen ontwikkelen van Front-end software; Het begeleiden van het front-end team; Het oplossen van incidenten; Het bijhouden van een backlog; Je hebt een actieve bijdrage in de wekelijkse overleggen met de omliggende teams; Je houdt trends bij en adviseert het management hierover waar nodig; Helder communiceren met de stakeholders om hen zo mee te nemen in projecten en laten inzien wat de duur en toegevoegde waarde van bepaalde projecten is. Hier ga je werken Deze organisatie heeft circa 40 miljoen bezoekers per maand en heeft innovatie hoog in het vaandel staan. Het

Bekijk vacature »

Software Programmeur PHP - JAVA

Functie Voor een opdrachtgever in omgeving Zoetermeer zijn wij op zoek naar een ontwikkelaar ter versterking van het huidige developers team. Heb jij altijd al willen werken voor een bedrijf, dat veilige netwerkverbindingen levert, door middel van veilige oplossingen, die door middel van de nieuwste technologieën ontwikkelt zijn? Stop dan nu met zoeken! Hoe kan jouw dag er straks uitzien? Je gaat software en webapplicaties ontwikkelen met behulp van de talen C / C++ / PHP. Je gaat technische klussen uitvoeren op locatie bij klanten. Je onderhoudt contact met de projectleider om er zeker van te zijn dat een projecten

Bekijk vacature »

Medior/senior Front-end developer (Vue.js)

Functie Als Front-end developer ben je uiteindelijk overkoepelend aan de slag voor de 3 ontwikkelteams die ieder aan een specifiek product werken. In samenwerking met de UX-designer en de huidige Front-end developer zorg je voor gebruiksvriendelijke software. Lijkt het jou interessant om complexe problemen op te lossen en feautures naar een hoger niveau te tillen? En vind je het niet erg om oudere delen van de applicaties te refactoren i.c.m. het toevoegen van nieuwe functionaliteiten? Dan komen wij graag met je in contact. Eisen • HBO werk- en denkniveau (ze kijken niet naar papieren, maar naar denkniveau, motivatie en zelfredzaamheid)

Bekijk vacature »
Maarten van Rijssel

Maarten van Rijssel

20/10/2016 14:58:14
Quote Anchor link
Hallo.

Ik wil graag duidelijkheid. Ik gebruik al een poosje sha256 hash methode + salt en dat bevalt mij prima. Ik heb van meerdere mensen gehoord dat dat veilig genoeg is. Echter hoor ik ook mensen die zeggend dat sha256 absoluut niet veilig is en dat je per se bcrypt moet gebruiken omdat anders je webapplicatie heel makkelijk te hacken is.

Ik weet het dus niet meer. Kan iemand mij dus vertellen wat echt beter is? En dan graag niet alleen je mening ook graag bewijs. En als de een beter is, is de andere dan per definitie slecht en onveilig?

Gr. Maarten
 
PHP hulp

PHP hulp

29/03/2024 15:24:52
 
Pg Vincent

Pg Vincent

20/10/2016 15:11:40
Quote Anchor link
Tsja, wat is "veilig"? Als je de hash functie gebruikt om wachtwoorden te hashen, dan gaat een hacker echt niet proberen je hash te reverse-engineren, die gaat gewoon aan de voorkant snuffelen of hij het wachtwoord kan meelezen. Het wachtwoord is uiteindelijk het zwakste punt in de schakel.

Dus waar wi je jezelf tegen beveiligen?
 
Maarten van Rijssel

Maarten van Rijssel

20/10/2016 15:19:10
Quote Anchor link
100% is bijna onmogelijk. Waar ik voor wil zorgen is dat sql injecties niet meer mogelijkzijn en mocht tog iemand in de db komen hij geen wachtwoorden kan kraken
 
Pg Vincent

Pg Vincent

20/10/2016 15:44:31
Quote Anchor link
SQL injecties kun je voorkomen door overal en altijd alleen te werken met "prepared statements".
Maar het is veel waarschijnlijker dat er ergens in je code een bug zit die de hashes zichtbaar kan maken, b.v. door een var_dump() die iets meer dumpt dan je zou willen. de database zelf heeft als het goed opgezet is gewoon geen toegang van buitenaf, dus daar komt een hacker dan echt niet in buiten jouw code om.
 
Maarten van Rijssel

Maarten van Rijssel

20/10/2016 15:54:19
Quote Anchor link
Ik gebruik alleen var_dump als ik iets wil testen en verder nooit dus dat zit wel goed. En ik maak gebruik van prepared statements. Al met al prima beveiliging.
 
Pg Vincent

Pg Vincent

20/10/2016 16:11:27
Quote Anchor link
Nou, ho, dat is geen beveiliging he, dat zijn twee "niet lekken". Als je ergens een exception werpt die door een of andere instelling een stack-trace dumpt, dan ben je nog veel verder van huis. Je moet wel echt maatregelen nemen om te zorgen dat php op geen enkele manier iets kan weergeven wat niet de bedoeling is. Jou zou b.v. niet de eerste zijn die een debug log in zijn document root schrijft, waar "voor het gemak" ook het password in wordt geschreven, maar is vergeten om die URL vanuit de webserver te blokkeren....

Je moet dus zorgen dat jouw systeem niets vrijgeeft, dat niemand data uit je systeem kan peuteren, en als laatste komt pas het versleutelen van de data in de database.
 
Frank Nietbelangrijk

Frank Nietbelangrijk

20/10/2016 18:29:09
Quote Anchor link
>> Waar ik voor wil zorgen is dat sql injecties niet meer mogelijk zijn

Dit heeft niets te maken met welke encryptie methode je werkt. Zoals Vincent al aangeeft moet je dit voorkomen bij het schrijven naar de database. Prepared statements is maar één van de mogelijkheden waarmee je de kans op SQL injectie probeert te beperken of uit te sluiten.

>> en mocht togch iemand in de db komen hij geen wachtwoorden kan kraken.
Goed punt. Gebruik in dit geval liever BCrypt. SHA(256) is makkelijker te kraken. Overigens is het voor jouw website of database dan al te laat. Maar je voorkomt dan misschien dat de hacker het wachtwoord van je gebruikers gaat gebruiken op andere diensten zoals hun gmail account bijvoorbeeld.
 
Pg Vincent

Pg Vincent

21/10/2016 09:20:05
Quote Anchor link
"SHA(256) is makkelijker te kraken."

En kort googlen leert dat dat is omdat het SHA algorythme heel snel is als je het draait op een GPU. Als in: miljoenen/miljarden pogingen per seconde snel. Zwakke wachtwoorden zijn dus zo gehackt, en ook je salt zal sterk moeten zijn.
 
Maarten van Rijssel

Maarten van Rijssel

21/10/2016 09:23:40
Quote Anchor link
De salt wordt bij mij gegenereerd op basis van de licentie code die de applicatie heeft. Dus die is bij elke applicatie verschillend
 
Pg Vincent

Pg Vincent

21/10/2016 09:51:19
Quote Anchor link
Bon, maar de hacker gaat de hash aanvallen met rainbow-tables, dat zijn lange lijsten van woorden en kreten die mensen vaak gebruiken. Als jouw wachtwoord is "oliebol" en je salt is "563" zodat de hash wordt gemaakt van "oliebol563" dan hoeft een hacker de rainbow tabel maar 563 keer te proberen om jouw wachtwoord te vinden. Als je de salt toepast als "o5lie6bo3l" dan werkt de rainbow table niet meer en moet hij brute-force dingen gaan proberen, wat weer langer duurt als je afdwingt dat er hoofdletters en leestekens worden gebruikt.
 
Maarten van Rijssel

Maarten van Rijssel

21/10/2016 10:20:41
Quote Anchor link
Ja das waar idd. De salt is nu een serial key. 4x een combinatie van letters en cijfers met een streepje ertussen. Lijkt me al weer beter dan 563
 
Willem vp

Willem vp

21/10/2016 14:55:43
Quote Anchor link
Pg Vincent op 21/10/2016 09:51:19:
Bon, maar de hacker gaat de hash aanvallen met rainbow-tables, dat zijn lange lijsten van woorden en kreten die mensen vaak gebruiken. Als jouw wachtwoord is "oliebol" en je salt is "563" zodat de hash wordt gemaakt van "oliebol563" dan hoeft een hacker de rainbow tabel maar 563 keer te proberen om jouw wachtwoord te vinden.

Iets met een klok en een klepel die de plank misslaan. ;-)

Een salt is er juist voor om te voorkomen dat er uberhaupt een rainbow table kan worden gebruikt. Bovendien hoeft een rainbow table in dit voorbeeld niet "563x geprobeerd te worden" (wat dat dan ook moge betekenen). Als het gecrypte wachtwoord bekend is (omdat iemand bijvoorbeeld toegang heeft weten te krijgen tot je database) is ook je salt bekend. Maar dat is helemaal niet erg, want omdat de indringer waarschijnlijk geen rainbow table heeft liggen die met die salt is gemaakt, zal hij een dictionary attack of misschien zelfs wel een brute force attack moeten uitvoeren. Om die reden is het dus ook geen probleem als de salt bekend is, zolang elk wachtwoord maar met een unieke salt is gehasht.
 
Thomas van den Heuvel

Thomas van den Heuvel

21/10/2016 15:01:31
Quote Anchor link
Pg Vincent op 20/10/2016 15:44:31:
SQL injecties kun je voorkomen door overal en altijd alleen te werken met "prepared statements".

Hier ben ik het niet helemaal mee eens.

De/een eerste cruciale stap in het voorkomen van SQL injectie is begrijpen hoe dit ontstaat.

Vervolgens dien je er voor te zorgen dat alle DATA delen in je SQL op de juiste manier worden ge-escaped.

Prepared statements zijn een middel hiertoe. Maar wederom dien je te snappen hoe prepared statements werken en hoe je hier veilig mee omgaat. Ik heb hier (of ergens anders) iemand serieus prepared statements zien gebruiken waarbij superglobal-variabelen werden geconcateneerd aan een querystring. Het (verkeerd) gebruik van prepared statements kan nog veel catastrofaler zijn dan andere oplossingen omdat het je een vals gevoel van veiligheid kan geven.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.