login  Naam:   Wachtwoord: 
Registreer je!
 Reacties op nieuwsbericht:
Het vervolg op MD5 wachtwoorden | Gepost op: 01 februari 2013 - 14:08 | 5 reacties

Na mijn artikel laatst over MD5 wachtwoorden zijn er een aantal discussie punten naar voren gekomen.

1. Het meerdere malen hashen van een wachtwoord zou geen toegevoegde waarde hebben, het zou zelfs het wachtwoord verslechteren.

2.SHA is helemaal niet zo veilig als het klinkt.

 

Hieronder zal ik proberen te omschrijven wat de uitleg is bij bovenstaande punten:

1. Is het 10000x hashen van een wachtwoord beter als 1 keer? MD5 en SHA worden afgeraden omdat ze heel snel zijn. Ze zijn dus ook heel snel te kraken door een brute force, Vanuit die gedachte is het idee ontstaan om meerdere keren de methode uit te voeren. Wat vinden jullie van het meerdere keren hashen door middel van MD5 / SHA?

2. SHA is zoals gezegd een hele snelle functie. Hierdoor is het gevoeliger voor brute-force technieken. Enkele methodes welke trager zijn en beter om wachtwoorden te beveiligen zijn:

  • PBKDF2
  • Crypt

Welke methodes gebruiken jullie om wachtwoorden te beveiligen?

marten
Beheerder


Pagina:

Offline  Martijn
Gepost op: 01 februari 2013 - 16:08
Crew PHP



Als je wachtwoord dit is:

V!o@o#r$b%e^e&l*D() heb je een best sterk wachtwoord. Na MD5 is dat '19cfc8aed384c2ea569182a7653ec1bd'. Iets langer, maar alleen cijfers en lowercase chars.

Als je dit nog een keer doet, is je wachtwoord niet sterker lijkt me.

Ik gebruik gewoon sha1() voor wachtwoorden. We hebben laatst een appje gemaakt voor de MediaMarkt, daar hebben we de AES_ENCRYPT van mysql gebruikt, met een aardige salt.

Offline  Maarten
Gepost op: 01 februari 2013 - 16:39
Erelid



Wij maken over het algemeen gebruik van Bcrypt, in combinatie met obfuscation van het wachtwoord en userspecifieke salts.

Offline  WouterJ
Gepost op: 03 februari 2013 - 15:30
HTML gevorderde



1. Het meerdere malen hashen van een string maakt een hash steeds minder uniek en maakt de hash alleen maar minder sterk, zoals Martijn al zei.

2. Ik gebruik Bcrypt

Offline  Ibrahim
Gepost op: 04 februari 2013 - 13:51
PHP expert



In welke zin is het slim om de hash methode van een applicatie te publishen. Dat maakt het voor kwaadwillende makkelijker om te focussen op AES_ENCRYPT. Er hoeft maar een keer een bug of exploit in mysql te zitten en...

Ik maak meestal gebruik van verschillende hash methodes over elkaar heen, random concatenatie van de hashes, rehash, met een salt erbij. Dat maakt het voor bruteforcen een stuk minder makkelijk.

Offline  avdg
Gepost op: 07 februari 2013 - 18:27
PHP gevorderde



WouterJ schreef:
2. Ik gebruik Bcrypt


 

Pagina:
 
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.027s