login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Wachtwoord zonder MD5

Offline Frisbee - 10/12/2007 00:03
Avatar van FrisbeeHTML beginner Ik heb een vraagje. Normaal sla ik m'n wachtwoorden altijd als md5 op in de database. Nu wil een klant graag de wachtwoorden kunnen wijzigen en ook zien dus is dit geen optie.

Welke nadelen zitten hier aan? Is dit minder veilig?

9 antwoorden

Gesponsorde links
Offline Gerard - 10/12/2007 00:06
Avatar van Gerard Ouwe rakker Wanneer ik in jouw schoenen zou staan zou ik uit principiële redenen weigeren om te implementeren dat de klant de wachtwoorden van gebruikers kan inzien.

Dat hij het, waar nodig, kan veranderen is logisch... maar het echte wachtwoord inzien gaat mij te ver.
Offline vinTage - 10/12/2007 00:06
Avatar van vinTage Nieuw lid Dit is minder veilig en ook niet echt klantvriendelijk imo.

minder veilig, omdat als iemand de database kan bekijken, dat hij dan van iedereen de ww kan zien, vaak worden die ww ook voor andere doeleinden gebruikt.
Offline ranco - 10/12/2007 00:08 (laatste wijziging 10/12/2007 15:03)
Avatar van ranco PHP gevorderde Waarom zou een klant dit willen?
Er is geen reden te bedenken (behalve om te hacken) waarom een klant wachtwoorden wil kunnen inzien. Aanpassen okay, maar daar hoeft hij de wachtwoorden niet voor te zien.

Ik zou dit principieël weigeren. Volgens mij is het trouwens volgens de nederlandse wet verplicht om wachtwoorden encrypted op te slaan ivm de privacy.

Dit is dus: NOT DONE!
Offline Frisbee - 10/12/2007 00:45
Avatar van Frisbee HTML beginner @proximus: volkomen mee eens, zou ik zelf ook nooit doen maar hier zit het anders.

De gebruikers kunnen zelf geen wachtwoord kiezen. De gebruikers worden door de beheerders aangemaakt en kiezen dus niet zelf een wachtwoord. Wachtwoorden kunnen ook alleen door de beheerders gewijzigd worden. Dus dat zou opzich geen probleem zijn.

Maar ik doelde meer op de veiligheid. Hoe makkelijk is het om in een database te komen? Lijkt me toch niet dat je daar zo eenvoudig inkomt?
Offline citroen - 10/12/2007 01:19
Avatar van citroen Onbekend als de gebruikers geen wachtwoord kunnen kiezen dan maak je gewoon gebruik van een willekeurig aantal karakters wat je in de database opslaat, dit maakt dan niet zo veel uit als je deze kan lezen omdat het nooit een wachtwoord zal zijn dat de gebruiker ook voor andere doeleinde zal gebruiken.
Offline ranco - 10/12/2007 13:10
Avatar van ranco PHP gevorderde Okay, in dit geval kan een klant dit wel vragen ja.
Wachtwoorden worden vaak doormiddel van sqlinjections uit een database opgehaald.

Tutorial over h... voorkomen
Offline Koen - 10/12/2007 16:16
Avatar van Koen PHP expert Je kan toch ook wachtwoorden laten wijzigen zonder dat ze het eigenlijke wachtwoord(md5) te zien krijgen?
php code - Bekijk de code zonder highlighting - Klap code in 
  1. <?php
  2. if(IsSet($_POST['submit']) && $_SERVER['REQUEST_METHOD'] == 'POST') {
  3.     $password = md5($_POST['pw']);
  4.     // Je mysql gedoe updaten..
  5. } else {
  6.     ?>
  7.     <form action="<?php echo $_SERVER['REQUEST_URI'];?>" method="post">
  8.     Wijzig het wachtwoord van [..]:
  9.     <input type="password" name="pw" />
  10.     <input type="submit" name="submit" value="OK" />
  11.     </form>
  12.     <?php
  13. }
  14. ?>
Offline ranco - 10/12/2007 16:37
Avatar van ranco PHP gevorderde @sliphead: Als gebruikers standaard een wachtwoord toegewezen krijgen, en deze vergeten zijn is dit wel makkelijk en sneller dan een nieuw wachtwoord generen en aan de medewerker meegeven.
Offline Koen - 10/12/2007 16:40
Avatar van Koen PHP expert
ranco schreef:
@sliphead: Als gebruikers standaard een wachtwoord toegewezen krijgen, en deze vergeten zijn is dit wel makkelijk en sneller dan een nieuw wachtwoord generen en aan de medewerker meegeven.

Excuseer me dan ;)
Ik heb niet echt gevolgd, ik dacht dat 'de medewerker' zelf wachtwoorden moest kunnen veranderen.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.362s