Het vervolg op MD5 wachtwoorden

Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Reacties op nieuwsbericht:

Het vervolg op MD5 wachtwoorden | Gepost op: 01 februari 2013 - 14:08 | 5 reacties

Na mijn artikel laatst over MD5 wachtwoorden zijn er een aantal discussie punten naar voren gekomen.

1. Het meerdere malen hashen van een wachtwoord zou geen toegevoegde waarde hebben, het zou zelfs het wachtwoord verslechteren.

2.SHA is helemaal niet zo veilig als het klinkt.

�

Hieronder zal ik proberen te omschrijven wat de uitleg is bij bovenstaande punten:

1. Is het 10000x hashen van een wachtwoord beter als 1 keer? MD5 en SHA worden afgeraden omdat ze heel snel zijn. Ze zijn dus ook heel snel te kraken door een brute force, Vanuit die gedachte is het idee ontstaan om meerdere keren de methode uit te voeren. Wat vinden jullie van het meerdere keren hashen door middel van MD5 / SHA?

2. SHA is zoals gezegd een hele snelle functie. Hierdoor is het gevoeliger voor brute-force technieken. Enkele methodes welke trager zijn en beter om wachtwoorden te beveiligen zijn:

PBKDF2
Crypt

Welke methodes gebruiken jullie om wachtwoorden te beveiligen?

marten
Beheerder

Martijn

Gepost op: 01 februari 2013 - 16:08

Crew PHP

Als je wachtwoord dit is:

V!o@o#r$b%e^e&l*D() heb je een best sterk wachtwoord. Na MD5 is dat '19cfc8aed384c2ea569182a7653ec1bd'. Iets langer, maar alleen cijfers en lowercase chars.

Als je dit nog een keer doet, is je wachtwoord niet sterker lijkt me.

Ik gebruik gewoon sha1() voor wachtwoorden. We hebben laatst een appje gemaakt voor de MediaMarkt, daar hebben we de AES_ENCRYPT van mysql gebruikt, met een aardige salt.

Maarten

Gepost op: 01 februari 2013 - 16:39

Erelid

Wij maken over het algemeen gebruik van Bcrypt, in combinatie met obfuscation van het wachtwoord en userspecifieke salts.

WouterJ

Gepost op: 03 februari 2013 - 15:30

HTML gevorderde

1. Het meerdere malen hashen van een string maakt een hash steeds minder uniek en maakt de hash alleen maar minder sterk, zoals Martijn al zei.

2. Ik gebruik Bcrypt

Ibrahim

Gepost op: 04 februari 2013 - 13:51

PHP expert

In welke zin is het slim om de hash methode van een applicatie te publishen. Dat maakt het voor kwaadwillende makkelijker om te focussen op AES_ENCRYPT. Er hoeft maar een keer een bug of exploit in mysql te zitten en...

Ik maak meestal gebruik van verschillende hash methodes over elkaar heen, random concatenatie van de hashes, rehash, met een salt erbij. Dat maakt het voor bruteforcen een stuk minder makkelijk.

avdg

Gepost op: 07 februari 2013 - 18:27

PHP gevorderde

WouterJ schreef:

2. Ik gebruik Bcrypt