login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Salt in wachtwoord

Offline Ultimatum - 18/03/2008 08:48
Avatar van UltimatumPHP expert Ik zat te denken om de wachtwoorden te "salten" voordat ik ze opsla in de database en de salt is dan een random getal van 6 cijfers en die zet ik dan ook in de database. Maar kan iemand achter het orginele wachtwoord komen als hij de salt weet (6 random cijfers) en de md5 string van het wachtwoord (heb ik mee gehashd (md5 was hash toch, vergeet het steeds  )). Of heeft "salt" geen meerwaarde als de "salt" bekend is?

Alvast bedankt

9 antwoorden

Gesponsorde links
Offline Ontani - 18/03/2008 09:24
Avatar van Ontani Gouden medailleGouden medailleGouden medailleGouden medaille

-1		 De bedoeling van een 'salt' is een wachtwoord encrypten om die nadien ook te kunnen decrypten, als je met md5 gaat werken is er van decrypten geen spraken omdat dit niet mogelijk is na een hash, dus veel zin heeft die salt-key dan niet.
Offline nemesiskoen - 18/03/2008 09:40
Avatar van nemesiskoen Gouden medaille

PHP expert
Citaat:
de md5 string van het wachtwoord

Deze is al genoeg, die moet je niet nog eens gaan encrypten. Je mag als je goesting hebt, maar dat is genoeg. Trouwens, hoe gaat iemand aan die md5-string geraken?
Offline Ultimatum - 18/03/2008 09:48
Avatar van Ultimatum PHP expert
Ontani schreef:
De bedoeling van een 'salt' is een wachtwoord encrypten om die nadien ook te kunnen decrypten, als je met md5 gaat werken is er van decrypten geen spraken omdat dit niet mogelijk is na een hash, dus veel zin heeft die salt-key dan niet.

Maar ik heb de salt nog, dus als iemand wil inloggen dan prop ik die salt bij het ingevoerde wachtwoord, gooi er md5 overheen en check dan in de database. Zo kan ik dus nog wel checken.

vage schreef:
Deze is al genoeg, die moet je niet nog eens gaan encrypten. Je mag als je goesting hebt, maar dat is genoeg. Trouwens, hoe gaat iemand aan die md5-string geraken?

Ja dat is waar, maar het is altijd beter om wat extra protectie te hebben toch? Dan heb ik tenminste mijn best gedaan om niet gewenste mensen buiten te houden 
Offline nemesiskoen - 18/03/2008 09:51
Avatar van nemesiskoen Gouden medaille

PHP expert		 Je doet maar... k zou me eerder zorgen maken om het feit dat mensen in m'n db kunnen dan dat een of andere md5 string door iemand raar wordt bekeken.
Offline Ontani - 18/03/2008 10:23
Avatar van Ontani Gouden medailleGouden medailleGouden medailleGouden medaille

-1		 Dit is gewoon niet de bedoeling van een salt. Je hebt het concept een beetje verkeerd of je gebruikt de verkeerde woorden. Je praat over een custom hash functie ipv een encryptie met behulp van een salt-key.
Offline Ultimatum - 18/03/2008 11:45
Avatar van Ultimatum PHP expert Het was meer naar aanleiding van deze turorial:
http://j82.nl/ep2/topic/4026/
En ergens halverwege de turorial gaat het over de usersystem waar hij ook salt gebruikt zoals ik in mijn beginpost zei. De tabel staat bovenaan in de tutorial.
Offline nemesiskoen - 18/03/2008 11:48 (laatste wijziging 18/03/2008 11:55)
Avatar van nemesiskoen Gouden medaille

PHP expert		 lol, sima ubb werkt niet:-)
in dat voorbeeld is die salt echt nada waard:-)
STEL ik zou aan die wachtwoorden kunnen
en
STEL ik zou sha1 kunnen omkeren (blêh???)
dan doe ik een testje

eigen wachtwoord: xyz
(salt, die we zogezegd niet kennen: abc)
php code - Bekijk de code zonder highlighting - Klap code in 
  1. $veilig (???) = sha1("abcxyz"); // laten we zeggen dat dit "blaatfoobar" is


en dan zit ik in je db te snuffelen (???) en dan kom ik "blaatfoobar" tegen.
Dan draai ik dit terug om met mijn sha1 decoder (die niet bestaat):
==> omgekeerdesha1("blaatfoobar") = "abcxyz"

ik weet dat mijn wachtwoord "xyz" is, dus de salt is "abc".
Dus ik doe dit met een ander wachtwoord
==> omgekeredesha1("blaaaaaaaat") = "abcgeheim"

En ik weet dat het wachtwoord "geheim" is.:-)

(lol, hij gooit er 2x sha1 over:-) nog niet gezien)
mja, mijn point blijft: als iemand sha1 kan achterhalen, en iemand kan aan je database... then: you've been screwed!
Offline Ultimatum - 18/03/2008 11:55
Avatar van Ultimatum PHP expert Ja daar heb je wel een punt, maar als ze bijvoorbeeld wel de hash weet dan kan je hem vergelijken in een database om te kijken of het een standaard woord is, als je dan salt dan zou hij niet voorkomen terwijl het misschien wel een normaal woord is dat in het woorenboek zou kunnen voorkomen..
Offline nemesiskoen - 18/03/2008 11:56 (laatste wijziging 18/03/2008 11:56)
Avatar van nemesiskoen Gouden medaille

PHP expert		 Zoals ik hiervoor al zei: Je doet maar... k zou me eerder zorgen maken om het feit dat mensen in m'n db kunnen dan dat een of andere md5 string door iemand raar wordt bekeken.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.215s