Wachtwoord hashen

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Full-stack .NET developer gezocht, Goeree-Overflak

Ben je een .NET software developer en op zoek naar een professionele werkomgeving binnen een wat groter innovatief en ambitieus bedrijf? Waar sprake is van een uitgebreid applicatielandschap met elke dag nieuwe uitdagingen, waar alles mogelijk is, binnen een goede collegiale sfeer? Lees dan verder! Voor een bedrijf in Goeree-Overflakke zijn we momenteel op zoek naar een ervaren software developer. De IT afdeling bestaat uit circa 60 mensen waarvan zo'n 15 developers. Voor de recente architectuur wordt gebruikt gemaakt van de nieuwste technieken waaronder .NET Core, Docker en Angular. Echter bestaat het applicatielandschap uit een groot aantal verschillende applicaties waarbij

Bekijk vacature »

Junior C# Developer

Bedrijfsomschrijving Onze klant is een innovatieve financiële organisatie in regio Den Haag die momenteel op zoek is naar een junior C# developer. Je zal naast je dagelijkse werkzaamheden meewerken in hele mooie projecten. In zo'n project wordt bijvoorbeeld een oude applicatie vanaf de grond af aan opnieuw gebouwd. De focus ligt hierbij op back-end development, echter zal je soms ook front-end taken op moeten pakken. De organisatie heeft een open cultuur met korte lijnen. Grote hoeveelheden data zijn kenmerkend voor het applicatie landschap, waardoor Business Intelligence een belangrijke rol in de organisatie speelt. Daarnaast zijn duurzaamheid en betrouwbaarheid termen die

Bekijk vacature »

Medior Front-end Developer

As a medior Front-End Developer at Coolblue you improve the user-friendliness of our webshop for millions of customers. How do I become a Medior Front-end Developer at Coolblue? As a Medior Front-end Developer you work on the user-friendliness of our webshop for millions of customers. You enjoy working with the UX designer to pick up stories. You get energy from coming up with creative solutions and are happy to present this within the team. You are also proud of your work and welcome all feedback. "Want to become a Medior Front-end Developer at Coolblue? Else de Boer explains how to

Bekijk vacature »

Cloud Automation Engineer VMware - Infrastructure

Cloud Automation Engineer VMware - Infrastructure Services PositionDescription Ben jij een ambitieuze Cloud Engineer die de ontwikkelingen en innovaties op het gebied van Cloud Infra & Automation op de voet volgt? Ben je een breed georiënteerde engineer en wil je je verdiepen in een specifieke technologie? Of wil je je expertise juist verbreden en certificeren in meerdere technieken en tools? Wij zoeken ter versterking van ons team zowel multi-skilled als specialistische engineers met passie voor hun vak! Bij ons krijg je de ruimte en vrijheid om in de praktijk jezelf verder te ontwikkelen op diverse projecten en aan je theoretische

Bekijk vacature »

Front-End developer met uitzicht op zee

Bedrijfsomschrijving Voor een mooie klant op een toffe locatie ben ik op zoek naar een Front-end developer. Ze bouwen en ontwerpen webapplicaties en websites van A tot Z dus van design tot aan functionaliteit. Binnen dit bedrijf krijg je veel vrijheid om je creativiteit te tonen. Hier werken ze aan hele leuke projecten in SCRUM verband. Er wordt hier veel van je gevraagd maar je krijgt hier staat wel een hele toffe baan tegenover. De gezellige en ontspannen sfeer zorgt voor de nodige humor op de werkvloer. Bij dit bedrijf werken circa 40 mensen en is nog steeds groeiende. Naast

Bekijk vacature »

Java Developer

Bedrijfsomschrijving You will work at a large and progressive financial organization with offices in the Netherlands and abroad. You work within the domain that is responsible for delivering several daily banking processes used by all our customers. The processes are fixed around life cycle management for the current accounts and packages, such as opening and closing an account. Your colleagues are all driven Engineers, who like to stay up-to-date with the latest technologies. You are going to work in a team that believes in the DevOps way of working. As Developer you are responsible for the technical structure of several

Bekijk vacature »

IAM developer

Functieomschrijving IAM, voor jou hoeven we dat niet te vertalen toch? Want jij weet exact waar wij het over hebben bij het benoemen van Identity Access Management. Ben je toe aan een informele, mensgerichte omgeving met vrijheid, ondernemerschap, creativiteit en focus op innovatie? Dat zijn wij! En laten wij nou op zoek zijn naar jou, een IAM developer die ons team helpt Randstad naar een veilige toekomst te helpen. Als IAM developer bij ons ben jij samen met de overige teamleden aanspreekpunt binnen de organisatie ten behoeve van functionele en technische vragen omtrent Identity & Access Management. Samen met andere

Bekijk vacature »

CI/CD Platform Specialist

CI/CD Platform Specialist Functiebeschrijving: Houd je van complexe uitdagingen in een dynamische omgeving? Ben je proactief en niet bang om uit je comfort zone te treden? Staat bij jou de klant centraal? Wil jij bijdragen aan de verdere invoering van DevOps, cloud migratie en microservices/containerization van een groot applicatielandschap? Dan ben jij onze nieuwe collega! Wat ga je doen? Als CI/CD Platform Specialist bestaan je werkzaamheden uit het opzetten van grote en compleet geautomatiseerde ontwikkelstraten in de breedste zin, en advies geven over de inrichting en schaling van deze omgevingen. Je helpt onze opdrachtgevers binnen de Nederlandse overheid bij het

Bekijk vacature »

Junior Integratie Specialist

Ben jij net afgestudeerd en op zoek naar een startersfunctie? Heb je affiniteit met zorg en ICT en ben je analytisch sterk? Dan zijn wij voor onze vestiging in Amsterdam op zoek naar jou! Als Junior Integratie Specialist zorg jij dat de systemen en apparatuur van externe leveranciers en instanties naadloos communiceren met ons ZIS/EPD (zorginformatiesysteem/elektronisch patiëntendossier). Jij helpt ChipSoft met het bouwen aan duurzame informatie-uitwisseling in de zorg. Jouw baan Informatie-uitwisseling in de zorg is essentieel om de patiëntzorg te verbeteren. Als Junior Integratie Specialist ondersteun en adviseer jij de klant (veelal ziekenhuizen) om een perfecte communicatie tussen de

Bekijk vacature »

.NET developer

Bedrijfsomschrijving Als Senior .NET developer ga je werken in een DevOps team aan state-of-the-art oplossingen voor diverse opdrachtgevers. Denk hierbij aan het van scratch af aan bouwen van oplossingen, platformen, apps en andere portalen waar grote hoeveelheden data, AI en loT centraal staan. Zo is de organisatie onder andere bezig met het bouwen van een platform wat gebouwen middels tal van sensoren in kaart brengt en alles wat daarbij komt kijken. Zo kan iedereen in een opslag op een plattegrond zien welke ruimte bezet, gereserveerd of vrij is en wordt dit gekoppeld met andere diensten, bijvoorbeeld richting schoonmakers die weten

Bekijk vacature »

PHP Full Stack developer

Ter uitbreiding van ons team in Lobith zijn wij op zoek naar een PHP developer M/V Full-time (32-40u) Als groothandel zijn wij al 20 jaar een begrip in de computerwereld. Wij zijn distribiuteur van diverse grote merken en leveren voornamelijk aan wederverkopers in Nederland en België. Als PHP fullstack developer ontwikkel je nieuwe functies voor onze website en inhouse-applicaties. Daarnaast willen wij het huidige CRM systeem stap voor stap vervangen met een naar onze wensen ontwikkeld systeem. Het is dus jouw taak om dit nieuwe systeem te ontwikkelen. Wat verwachten we van jou? Je bent helemaal thuis in PHP, CSS,

Bekijk vacature »

Low Code Ontwikkelaar vacature van junior tot seni

Bedrijfsomschrijving Visueel ontwerpen van applicaties middels Low Code en in het specifiek OutSystems is wat je bij deze organisatie gaat doen. Dit betekent niet dat ze geen ruimte hebben voor specialisten binnen bijvoorbeeld Mendix want deze organisatie ademt Low Code. Hier hebben ze ruimte en bovenal ook uitdaging voor ervaren Low Code Ontwikkelaars, maar daarnaast leiden ze ook starters op. Je komt hier te werken met collega’s die echt weten wat ze doen. Dit geeft je de mogelijkheid om ook lekker te sparren met de andere OutSystems Consultants die hier werkzaam zijn. Daarnaast leggen ze alles in gewone mensentaal uit,

Bekijk vacature »

Senior .NET Developer Datawarehouse

Senior .NET Developer Datawarehouse Bouw jij graag mee aan de nieuwe generatie van het datawarehouse-framework voor de zorg? En kent programmeren in C# geen geheimen voor jou? Dan pas jij perfect in ons team in Amsterdam. We bieden jou de kans om complexe uitdagingen op te lossen en te werken met de nieuwste technieken. Jouw baan Zorgprofessionals nemen belangrijke beslissingen op basis van data uit ons Datawarehouse. Als .NET Developer Datawarehouse ontwikkel jij een nieuwe generatie van het achterliggende framework. Je werkt dagelijks met zeer grote en complexe datasets en krijgt te maken met uitdagende issues, waarbij diepgaand onderzoek nodig

Bekijk vacature »

Dynamics CRM / Developer

Bedrijfsomschrijving Als onderdeel van een grote IT-dienstverlener is deze organisatie ontstaan en is nu gegroeid tot organisatie van bijna 30 man groot. Iedereen binnen deze organisatie houdt zich bezig met het ontwikkelen, beheren, onderhouden van bedrijfskritische applicaties. In tegenstelling tot de moederorganisatie, werken de medewerkers bij deze organisatie gemiddeld drie dagen in de week gewoon op het eigen kantoor in Utrecht. Mede hierdoor heerst er een erg informele sfeer waardoor jij je binnen no-time thuis voelt! De organisatie staat op het punt om een heel nieuw team met specialiteit Dynamics CRM op te tuigen. Nee, je hoeft zeker nog geen

Bekijk vacature »

Senior Business Analyst

Cargill Want to build a stronger, more sustainable future and cultivate your career? Join Cargill's global team of 155,000 employees who use new technologies, dynamic insights and over 155 years of experience to connect farmers with markets, customers with ingredients, and people and animals with the food they need to thrive. JOB PURPOSE AND IMPACT We seek a Systems and Process Design Analyst III who will analyze business problems to be solved with automated systems. In this role, you will provide technical expertise to identify, evaluate and develop systems and procedures that are cost-effective and meet user requirements. KEY ACCOUNTABILITIES Translate

Bekijk vacature »
- Rob -

- Rob -

04/04/2017 16:56:24
Quote Anchor link
Hallo!

Als ik wachtwoorden zoals: test hash en controleer met de volgende code:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
$password = password_hash(md5(hash('sha256', sha1(md5('test')))), PASSWORD_DEFAULT);


    if (password_verify(md5(hash('sha256', sha1(md5('test')))), $password))
    {
        echo 'test';
    }


Dan zou dit toch hartstikke veilig moeten zijn? Want wie komt er nou achter zulke ritmes (als ik dat bv. 10 keer achter elkaar door elkaar haal).

En van de link https://crackstation.net/hashing-security.htm
snap ik het niet helemaal.

Dus wie zou mij kunnen uitleggen waarom dit niet veilig is?
 
PHP hulp

PHP hulp

19/01/2021 01:01:38
 
- Ariën -
Beheerder

- Ariën -

04/04/2017 18:58:54
Quote Anchor link
Waarom zou je nog eens hash(), sha1() en md5() erratum toe willen voegen? Het standaard geheel is al veilig zat. En anders kan je de 'cost' iets ophogen.
 
Ward van der Put
Moderator

Ward van der Put

04/04/2017 19:54:34
Quote Anchor link
Als je een lange hash nog eens door een algoritme voor een kortere hash haalt, maak je het geheel onveiliger.

Als je bijvoorbeeld 10.000 wachtwoorden door een hash met maar 1.000 mogelijke combinaties haalt, houd je niet 10.000 maar slechts 1.000 combinaties over. Iets soortgelijks gebeurt wanneer je md5(sha1(…)) gebruikt: je beperkt het grotere aantal combinaties van SHA-1 tot het kleinere aantal combinaties van MD5.

Daarom is jouw variant md5(hash('sha256', sha1(md5('test')))) technisch eigenlijk gewoon even erg, maar veroorzaakt die daarnaast nog schijnveiligheid: je lijkt sterk te coderen met SHA-256, maar verzwakt de boel tot MD5.
 
Ozzie PHP

Ozzie PHP

04/04/2017 20:23:43
Quote Anchor link
Dit soort dingen vind ik zelf ook altijd lastig te begrijpen.

>> Als je bijvoorbeeld 10.000 wachtwoorden door een hash met maar 1.000 mogelijke combinaties haalt, houd je niet 10.000 maar slechts 1.000 combinaties over.

Ward, mag ik even van de gelegenheid gebruik maken om je te complimenteren met je duidelijke antwoord. Hoe je het hier uitlegt, is erg helder. Een ketting is zo sterk als z'n zwakste schakel ... in dit geval dus die md5.
 
- Rob -

- Rob -

04/04/2017 20:32:53
Quote Anchor link
Maar als ik sha256 nou eerst doe, dan sha1 en dan md5, is het toch juist veiliger?

Toevoeging op 04/04/2017 20:37:28:

Want dan moet een hacker 3 combinaties van 3 verschillende hashes achterhalen, right?
 
Ben van Velzen

Ben van Velzen

04/04/2017 20:42:59
Quote Anchor link
Nee natuurlijk is dat niet veiliger, het maakt voor de volgorde niets uit, alleen de zwakste schakel telt.
Een hacker die sha256 kan achterhalen kan de rest ook achterhalen.
 
- Rob -

- Rob -

04/04/2017 20:44:03
Quote Anchor link
Dan blijf ik gewoon lekker password_hash(ww, PASSWORD_DEFAULT) gebruiken :)
 
Ben van Velzen

Ben van Velzen

04/04/2017 20:45:40
Quote Anchor link
Ik zou voor de zekerheid ook geen PASSWORD_DEFAULT gebruiken, wat zal er namelijk gebeuren als de default verandert? Dan werkt je login routine opeens niet meer met bestaande accounts.
 
- Rob -

- Rob -

04/04/2017 20:46:19
Quote Anchor link
Wat moet ik dan gebruiken?

Toevoeging op 04/04/2017 20:46:31:

PASSWORD_BYCRYPT?
 
Ben van Velzen

Ben van Velzen

04/04/2017 20:50:21
Quote Anchor link
Bcrypt is momenteel de default, dus dat is momenteel gelijk aan wat je toch al had. Wel zo veilig dan dus.
 
- Rob -

- Rob -

04/04/2017 20:52:53
Quote Anchor link
Oké, maar dan wordt het dus password_hash(ww, PASSWORD_BYCRYT) ipv password_hash(ww, PASSWORD_DEFAULT)
Maar is sha256 niet veiliger? Of maakt dat niet zo veel uit?
 
Ben van Velzen

Ben van Velzen

04/04/2017 20:58:21
Quote Anchor link
Bcrypt werkt net even anders dan sha256. Het is dus geen vraag over veiligheid, maar over de methode. Bcrypt levert geen 2x dezelfde waarde op, waardoor je ook kunt besluiten om na een correcte inlogpoging een nieuwe hash in de database op te slaan.
 
Ozzie PHP

Ozzie PHP

05/04/2017 01:34:24
Quote Anchor link
>> waardoor je ook kunt besluiten om na een correcte inlogpoging een nieuwe hash in de database op te slaan.

Is dat gebruikelijk?
 
Bart V B

Bart V B

05/04/2017 08:52:07
Quote Anchor link
Dat kan. Zie http://php.net/manual/en/function.password-needs-rehash.php
Een voordeel lijkt me, dat als er een nieuwe word gegenereerd je een brute force bijna onmogelijk maakt.
Quote:
Ik zou voor de zekerheid ook geen PASSWORD_DEFAULT gebruiken, wat zal er namelijk gebeuren als de default verandert? Dan werkt je login routine opeens niet meer met bestaande accounts.

Ehm... Hier wil even op inhaken.

Dat is toch echt niet wat de manual voorschrijft.
Ik meen zelfs te hebben gelezen dit juist WEL te gebruiken omdat het kan veranderen.
Het enige waar je over na moet denken is dat je het op moet slaan in een kolom die een behoorlijke grote is. bij php5.5 zo de grote van kolom 60 karakters genoeg moeten zijn, maar omdat hij in de toekomst kan veranderen word het advies gegeven om hem 255 karakters te maken. En als je php 7 gebruikt is een salt niet meer nodig extra toe te voegen, want dat doet hij voortaan zelf.
Gewijzigd op 05/04/2017 09:02:58 door Bart V B
 
Ward van der Put
Moderator

Ward van der Put

05/04/2017 09:11:49
Quote Anchor link
Als je alleen de hash wijzigt maar het wachtwoord niet, is het wachtwoord nog steeds bruikbaar en kun je dus remote bruteforcen. Je kunt brute force beter tegengaan door het aantal requests per periode, per IP-adres en per gebruikersnaam te beperken en door een zware work factor te gebruiken.

Het rehashen dient vooral een ander doel: als de hashes (dus de database) in verkeerde handen zijn gevallen, worden die bij een rehash onbruikbaar. Aangezien diefstal van wachtwoordhashes niet altijd onmiddellijk wordt ontdekt, beperk je automatisch de potentiële schade voor actieve gebruikers door wachtwoorden bij een login te rehashen.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.