Dit is een nieuw onderdeel van SiteMasters. In deze serie blogs wil ik dieper ingaan op security issues welke op kunnen treden bij het bouwen van websites. In dit eerste artikel behandelen we het opslaan van wachtwoorden in MD5.

Het is booming om de wachtwoorden op te slaan als MD5 in de database. Er zijn hier echter een aantal valkuilen in. Iedereen kent de term 'brute-force'. Naast brute-force is het ook mogelijk om zogenaamde rainbow tabel te gebruiken. Er zijn daarvan een aantal in omloop. En als je het mij vraagt worden die gevoedt door de online password generators / md5 crypters. Pas hiermee op. Het is sneller om even een eigen script hiervoor te maken. Kost een paar minuten.

Brute force

De term brute-force wil eigenlijk alleen maar zeggen: we gaan proberen het wachtwoord te raden. Stel je hebt een vier cijferige code: 7382. Brute force dit wachtwoord zal proberen het als volgt te kraken: 0000, 0001, 0002 etc. Geavanceerde brute-force technieken zijn er iets slimmer in. Met de huidige hardware kost het niet zoveel tijd meer om een brute force uit te voeren. Vooral niet om 4 karakters te raden. 

Rainbow tabel

Rainbow tabellen zijn tabellen welke miljoenen / miljarden woorden bevatten met de daarbij behorende md5 hash. Het is dus heel makkelijk om een hash op te zoeken en vervolgens het daarbij behorende woord bij te zoeken.

Door bovenstaande technieken te gebruiken vertrouw je er op dat de gebruikers moeilijke wachtwoorden gaan verzinnen. Door mijn ervaring weet ik dat je hier gewoonweg niet van uit mag gaan.

Hoe dan wel?

Dat kan je lezen in de tutorial Wachtwoorden opslaan

marten
Beheerder