wat voor soort login script?
De laatste tijd hou ik me bezig met het maken van website's voor mijn werk en nu ben ik opzoek naar een login script.
Het login script moet veilig zijn en makkelijk te installeren en beheren door andere want ik ga na dit project weer verder met een andere.
Nu zat ik zelf te denken aan md5 maar dat schijnt niet echt veilig te zijn, het enige wat ik verder nog kon vinden was md5 + salt + pepper hiervan schijnt de beveiliging stukken beter te zijn ik kan alleen nergens een script hiervan vinden.
Wat raden jullie aan om te gebruiken als inlogsysteem en waar kan ik eventueel een md5 + salt en pepper script vinden?
Alvast Bedank
Frank
salt md5 etc is en manier om wachtwoorden op teslaan
en een inlog script zo als zo het het al zegt slaat geen wachtwoorden op ;)
simpel login script : http://www.ichris.nl/simpel-inlog-systeem/
Gewijzigd op 01/01/1970 01:00:00 door RvW Of toch niet
Je hebt 1 goede, maar die moet je nog uitbreiden, dus als je dat kan: zoek op iChris' inlogsysteem.
Op hotscripts heb ik al gekeken maar ik kom er niet echt uit, heb wel al wat scripts gedownload enzo maar die werkten bij mij niet goed.
Het gaat mij eigenlijk alleen om een pagina maar mensen zich kunnen inloggen en die ook nog eens veilig is, de rest van de website word gewoon gemaakt met html.
dan zou ik het script gebruiken van http://www.ichris.nl/simpel-inlog-systeem/
wat ik en evert aan gegeven en als je en salt functie wilt inbouwen
Code (php)
als je blieft
Wat voor login je ook gaat gebruiken. Login systemen zijn nooit 100% water dicht, waar je rekening mee moet houden is het volgende.
MD5 zorgt voor encryptie, zoals je waarschijnlijk weet, MD5 is veilig genoeg om wachtwoorden te encrypte (PHP bijbel 2008). Je kan er altijd nog paar extra gebruiken, maar niet nodig.
LET-OP die encryptie gebeurd op de server in de PHP parser. Dus als een gebruiker op de submit button drukt, dan gaat het NIET gecodeerd over de lijn. Dat is het grootste gevaar!
Doormiddel van javascript kan je het een klein stukje lastiger maken, maar iedere client kan jouw javascript lezen, dus ook de "man in the middle"waar we het nu over hebben.
Gebruik daarom bij persoons gegevens en account gegevens een https verbinding.
1 zorg dat wachtwoord minimaal MD5 wordt opgeslagen in database
2 zorg dat $_POST of $_GET altijd even door deze heen gaat
Code (php)
1
2
3
4
5
2
3
4
5
if (!empty($_POST)){
foreach($_POST as $key=>$value){
$_POST[$key] = addslashes(trim(strip_tags($_POST[$key])));
}
}
foreach($_POST as $key=>$value){
$_POST[$key] = addslashes(trim(strip_tags($_POST[$key])));
}
}
3. Overweeg https, heeft meestal te maken met de kosten, anders javascript.
Overweeg het! Staar je niet blind op md5!
Suc6
Mark schreef op 07.11.2008 16:16:
MD5 zorgt voor encryptie, zoals je waarschijnlijk weet, MD5 is veilig genoeg om wachtwoorden te encrypte (PHP bijbel 2008). Je kan er altijd nog paar extra gebruiken, maar niet nodig.
ow denk je dat nou daar ben ik dus echt niet mee eens!
vertrouw jij mij jou wachtwoord toe in md5 vorm?
kom maar op ik brut force hem wel even voor je!
Het ichris inlogsysteem is ongeveer wat ik zoek, alleen vind ik het jammer dat het script niet aangepast mag worden (verwijderen van naam etc)
voor een site die voor mezelf is maakt het weinig uit maar dit is voor mijn werk dus die zullen er waarschijnlijk niet blij mee zijn
Weet iemand misschien een soort gelijk script die ook aangepast kan worden?
Mark schreef op 07.11.2008 16:16:
MD5 zorgt voor encryptie, zoals je waarschijnlijk weet, MD5 is veilig genoeg om wachtwoorden te encrypte (PHP bijbel 2008). Je kan er altijd nog paar extra gebruiken, maar niet nodig.
Schat: bruteforce md5, rainbow tables.
Mark schreef op 07.11.2008 16:16:
Doormiddel van javascript kan je het een klein stukje lastiger maken, maar iedere client kan jouw javascript lezen, dus ook de "man in the middle"waar we het nu over hebben.
Uche, uch, javascript staat vaak nog uit... Daarop kan je niet vertrouwen...
Mark schreef op 07.11.2008 16:16:
Gebruik daarom bij persoons gegevens en account gegevens een https verbinding.
Technisch gezien kan je dat ook nog weer "hacken", maar das een ingewikkeld verhaal (geloof ik)...
Mark schreef op 07.11.2008 16:16:
1 zorg dat wachtwoord minimaal MD5 wordt opgeslagen in database
Doe er effe een salt bij.... wiki salt
Mark schreef op 07.11.2008 16:16:
2 zorg dat $_POST of $_GET altijd even door deze heen gaat
Code (php)
1
2
3
4
5
2
3
4
5
if (!empty($_POST)){
foreach($_POST as $key=>$value){
$_POST[$key] = addslashes(trim(strip_tags($_POST[$key])));
}
}
foreach($_POST as $key=>$value){
$_POST[$key] = addslashes(trim(strip_tags($_POST[$key])));
}
}
In welk stenen tijdperk leef jij? Addslashes verneukt je data, strip tags is al voldoende.
Mark schreef op 07.11.2008 16:16:
3. Overweeg https, heeft meestal te maken met de kosten, anders javascript.
Moet je certificaat wel goed getekend zijn, anders denken veel mensen ook nog dat het fout is. Verder is kan https natuurlijk niks doen aan xss ofzo. Javascript vermijd je.
(Dat salt gedoe van rvw is misschien wel wat overdreven.)
rvw schreef op 07.11.2008 16:19:
ow denk je dat nou daar ben ik dus echt niet mee eens!
vertrouw jij mij jou wachtwoord toe in md5 vorm?
kom maar op ik brut force hem wel even voor je!
Mark schreef op 07.11.2008 16:16:
MD5 zorgt voor encryptie, zoals je waarschijnlijk weet, MD5 is veilig genoeg om wachtwoorden te encrypte (PHP bijbel 2008). Je kan er altijd nog paar extra gebruiken, maar niet nodig.
ow denk je dat nou daar ben ik dus echt niet mee eens!
vertrouw jij mij jou wachtwoord toe in md5 vorm?
kom maar op ik brut force hem wel even voor je!
Hoe wilde je er bij komen? Als er aan die andere stappen is voldaan?
Het gaat toch kaal over de lijn, als je via achterduren er bij kan komen, maar dat wordt toch al veel lastiger.
Mark schreef op 07.11.2008 16:38:
Hoe wilde je er bij komen? Als er aan die andere stappen is voldaan?
Het gaat toch kaal over de lijn, als je via achterduren er bij kan komen, maar dat wordt toch al veel lastiger.
rvw schreef op 07.11.2008 16:19:
ow denk je dat nou daar ben ik dus echt niet mee eens!
vertrouw jij mij jou wachtwoord toe in md5 vorm?
kom maar op ik brut force hem wel even voor je!
Mark schreef op 07.11.2008 16:16:
MD5 zorgt voor encryptie, zoals je waarschijnlijk weet, MD5 is veilig genoeg om wachtwoorden te encrypte (PHP bijbel 2008). Je kan er altijd nog paar extra gebruiken, maar niet nodig.
ow denk je dat nou daar ben ik dus echt niet mee eens!
vertrouw jij mij jou wachtwoord toe in md5 vorm?
kom maar op ik brut force hem wel even voor je!
Hoe wilde je er bij komen? Als er aan die andere stappen is voldaan?
Het gaat toch kaal over de lijn, als je via achterduren er bij kan komen, maar dat wordt toch al veel lastiger.
Kijk, als je die md5 gewoon in de db opslaat en je hebt ergens een sql injection of xss (sla daarom ook nooit het password op in een cookie) of of of of... Dan kan je die md5 terug bruteforce'en en dus inloggen.
Als je een salt gebruikt kan je wel lekker bruteforcen maar dan krijg je als je inlogt:
md5("salt" . $passwordwatterugisgehaaltmetsalt);
dus dat klopt niet. Je kunt dan niet zomaar het password achterhalen.
Natuurlijk zit je meer in de neste als je php ook bekend is, want dan is je salt ook bekend (maar ook je db zooi).
(Gebruik
als je wat wilt toevoegen / veranderen aan je post.)Zie dit en dit voor mitm-ssl attacks.
Controleren we dat ook nog eens met session gegevens die in db zijn opgeslagen.
Hoe navigeren we binnen de beveiligde omgeving?