wachtwoord encryptie + salt + anti-rainbowtable

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Precision
  • Registratie: November 2006
  • Laatst online: 03-07 14:35
Ik zou een unieke salt per row (per gebruiker) willen hebben, om zo te voorkomen dat er rainbow tables gemaakt worden. Het kost immers geen geld meer om via cloudcomputing een rainbow table te maken als je éénmaal een globale hash kunt achterhalen.

Nu speelt echter het probleem dat ik bij een login form, het wachtwoord ook niet plain-text wil versturen. Maar als het wachtwoord in de databank opgeslagen is als sha(user_id + password), dan kan ik niet: sha(sha(user_id + password) + uniek_voor_deze_login) gebruiken. Omdat ik op het moment dat de gebruiker het formulier invult ik zijn user_id niet ken. Maar user_id is hier enkel maar een voorbeeld, iets als laat de gebruiker dan zijn user_id invullen gaat dus niet op.

Hoe zou ik dit het beste (het veiligste oplossen)?
In de voorgaande topics werd er vooral over een globale salt (1 salt + alle wachtwoord) gesproken.

[ Voor 6% gewijzigd door Precision op 27-02-2011 12:30 ]

Crisis? Koop slim op Dagoffer - Op zoek naar een tof cadeau?


Acties:
  • 0 Henk 'm!

Anoniem: 26306

Een username is ook uniek. Hash gewoon wachtwoord + username + salt, waarbij de salt vooral bedoeld is om te korte combinaties langer te maken.

Acties:
  • 0 Henk 'm!

  • Precision
  • Registratie: November 2006
  • Laatst online: 03-07 14:35
Anoniem: 26306 schreef op zondag 27 februari 2011 @ 12:29:
Een username is ook uniek. Hash gewoon wachtwoord + username + salt, waarbij de salt vooral bedoeld is om te korte combinaties langer te maken.
Hier op tweakers.net kun je ook je username laten aanpassen, ik wil naar de toekomst toe die deur eventueel openhouden.

Crisis? Koop slim op Dagoffer - Op zoek naar een tof cadeau?


Acties:
  • 0 Henk 'm!

Anoniem: 26306

Ja, und? Als iemand zijn username wijzigt moet je hem sowieso zijn oude combinatie van gebruikersnaam+wachtwoord laten invullen zodat de nieuwe hash bepaald kan worden.

Acties:
  • 0 Henk 'm!

  • OnTracK
  • Registratie: Oktober 2002
  • Laatst online: 22:14
Precision schreef op zondag 27 februari 2011 @ 12:31:
[...]

Hier op tweakers.net kun je ook je username laten aanpassen, ik wil naar de toekomst toe die deur eventueel openhouden.
Maar dan moet je vast opnieuw je wachtwoord invoeren om dat te kunnen doen, dus valt op zich mee.

Waar je alleen rekening mee moet houden is dat je username case-sensitive wordt als je hem meehasht. Of je moet altijd lowercase meehashen o.i.d. (alleen van toepassing als je nu case-insensitive username login hebt)

[ Voor 39% gewijzigd door OnTracK op 27-02-2011 12:36 ]

Not everybody wins, and certainly not everybody wins all the time.
But once you get into your boat, push off and tie into your shoes.
Then you have indeed won far more than those who have never tried.


Acties:
  • 0 Henk 'm!

  • lembregtse
  • Registratie: Juni 2007
  • Laatst online: 10-07 13:48
Dat kan je toch oplossen door bij elke aanpassing van zulke gegevens het wachtwoord te bevestigen?

Hierboven dus ;).

[ Voor 12% gewijzigd door lembregtse op 27-02-2011 12:35 ]

Pagina: 1