Ik zou een unieke salt per row (per gebruiker) willen hebben, om zo te voorkomen dat er rainbow tables gemaakt worden. Het kost immers geen geld meer om via cloudcomputing een rainbow table te maken als je éénmaal een globale hash kunt achterhalen.
Nu speelt echter het probleem dat ik bij een login form, het wachtwoord ook niet plain-text wil versturen. Maar als het wachtwoord in de databank opgeslagen is als sha(user_id + password), dan kan ik niet: sha(sha(user_id + password) + uniek_voor_deze_login) gebruiken. Omdat ik op het moment dat de gebruiker het formulier invult ik zijn user_id niet ken. Maar user_id is hier enkel maar een voorbeeld, iets als laat de gebruiker dan zijn user_id invullen gaat dus niet op.
Hoe zou ik dit het beste (het veiligste oplossen)?
In de voorgaande topics werd er vooral over een globale salt (1 salt + alle wachtwoord) gesproken.
Nu speelt echter het probleem dat ik bij een login form, het wachtwoord ook niet plain-text wil versturen. Maar als het wachtwoord in de databank opgeslagen is als sha(user_id + password), dan kan ik niet: sha(sha(user_id + password) + uniek_voor_deze_login) gebruiken. Omdat ik op het moment dat de gebruiker het formulier invult ik zijn user_id niet ken. Maar user_id is hier enkel maar een voorbeeld, iets als laat de gebruiker dan zijn user_id invullen gaat dus niet op.
Hoe zou ik dit het beste (het veiligste oplossen)?
In de voorgaande topics werd er vooral over een globale salt (1 salt + alle wachtwoord) gesproken.
[ Voor 6% gewijzigd door Precision op 27-02-2011 12:30 ]
Crisis? Koop slim op Dagoffer - Op zoek naar een tof cadeau?