login  Naam:   Wachtwoord: 
Registreer je!
 Forum

beveiligingssysteem

Offline Dolfje - 06/03/2006 21:36
Avatar van DolfjeGouden medailleGouden medailleGouden medaille

PHP ver gevorderde
Als je een totaal nieuw concept van paswoorden kan introduceren, hoe zou jij dat doen.

bv. Met 2 wachtwoorden zodat het ene wachtwoord een verlenging is van het andere. Als je iets wil wijzigen heb je het ene nodig, anders het andere
ww1: blaat
ww2: 123blaat

bv. Zoals een soort bobit, de computer leert je zelf het paswoord aan, door elke keer een nieuwe letter erbij te doen. En zo heb je na een tijdje een heel goed paswoord.

bv. Met afbeeldingen, dat je op verschillende dingen klikt i.p.v. wachtwoord onthoudt.

Heb jij nog ideeen?

8 antwoorden

Gesponsorde links
Offline nemesiskoen - 06/03/2006 21:47
Avatar van nemesiskoen Gouden medaille

PHP expert
Die afbeelding is zoals dit: http://labs.mininova.org/passclicks/
Ik zou iets maken dat je niet genoeg hebt met alleen een cookie noch een sessie (en IP's buiten gelaten offcourse). Alleen weet ik (natuurlijk) niet hoe dit moet. Waarschijnlijk bestaat er wel een manier en ligt die zo voor het grijpen, alleen heeft nog niemand dit gedaan.

Misschien iets dat je rond heel de site kan surfen (met behulp van de cookie/sessie) maar vanaf dat je acties gaat uitvoeren (forum bericht posten, editten, script verwijderen, tutorial toevoegen, ...) gewoon een ander passwoord (dat je dus zelf kan instellen) laten invullen. Maar dit moet op zo'n simpele manier kunnen dat de gebruiker het amper merkt maar dat een cracker er niet door kan...
Offline Thomas - 07/03/2006 12:54 (laatste wijziging 07/03/2006 12:54)
Avatar van Thomas Moderator Op een site gebruik ik een cookie om ingelogd te blijven. In het cookie staat een userid en een hash.

Deze hash is echter elke keer anders als je inlogt (en aangeeft dat je ingelogd wilt blijven), hij is namelijk opgebouwd uit de hash van de inlogtijd (variabel deel van je cookie hash) + de hash van je wachtwoord (statisch deel van je cookie hash).

Als je vanaf een bepaalde machine met een vast IP inlogt, en aangeeft dat je ingelogd wilt blijven, dan is je login aan die computer gekoppeld.

Je kunt dan ook op andere computers (met andere IP's) inloggen. Echter, wanneer je opnieuw aangeeft dat je op die machine ingelogd wilt blijven, zal dat vanaf dan alleen op die machine kunnen.

Je hebt dus op elk moment maar één machine waarop je ingelogd blijft.

Als je je wachtwoord verder geheim houdt, is dit volgens mij een veilige methode (statisch+variabel hash-deel) om m.b.v. cookies ingelogd te blijven (tenzij iemand fysiek achter je PC kan gaan zitten natuurlijk).
Offline Dolfje - 07/03/2006 18:43
Avatar van Dolfje Gouden medailleGouden medailleGouden medaille

PHP ver gevorderde
het gaat over een nieuwe concept van aanmelden dat ik eigenlijk zoek.

Nog een manier:
Je hebt 1 wachtwoord en je hebt bv. 3 letters die je zomaar mag gebruiken. Zo kan je je paswoord langer maken, zodat achterstaanders het niet kunnen onthouden.
bv. Je paswoord: 0dke
Wat je intypt: an0danpake
Offline ikkedikke - 07/03/2006 20:57
Avatar van ikkedikke PHP expert je zou evt iets van substrcmp kunnen gebruiken, maar dan kan je niet zoals hier het wachtwoord zelf splitsen..
Offline nemesiskoen - 08/03/2006 15:44
Avatar van nemesiskoen Gouden medaille

PHP expert
Wat ik mij afvraag bij FangorN zijn systeem is wat er gebeurt als het id wordt veranderd. Stel de cookie ziet er zo uit (xyz is een virtuele hash):

Citaat:
5xyz


Hierbij stelt 5 het uId voor. Als ik dit nu in 6 verander krijg je:

Citaat:
6xyz


Omdat xyz variabel is, is dit dus een mogelijke combinatie en wordt er (denk ik) ingelogd op cookie id 6. Natuurlijk kan je dit vermijden door niet alleen het uId te vertrouwen maar door te controleren op een bepaalde waarde die ook (bv.) in de database steekt. Dit is dan het (gehashte) wachtwoord. Maar omdat de hash in de cookie variabel is kan hier toch niet op gecontroleerd worden? Of juist wel (als je de variabele hash elke keer hij veranderd wegschrijft)? Of hoe werkt dat systeem. Want ik kan er niet 100% aan uit.
Offline Thomas - 08/03/2006 16:58
Avatar van Thomas Moderator Sowieso zijn het userid en de logintijd/password hash gescheiden (met een punt-komma).

Daarnaast wordt bij het automatisch opnieuw inloggen (wat in feite gebeurt bij het "ingelogd bljiven") natuurlijk het wachtwoord + de logintijd die bij die specifieke user gecontroleerd .
Offline krambo - 08/03/2006 18:46
Avatar van krambo Nieuw lid ik zou graag weten hoe je die passclicks op een echt veilige manier maakt. Ziet erm ij interessant uit!
Offline ThAlmighty - 08/03/2006 20:03
Avatar van ThAlmighty HTML beginner denk dat het veilig kan als je zet telkens laat verspringen, of een bepaald punt op het plaatje die human-readable is
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.351s