Ik ben bezig met het maken van een echt degelijk login script in PHP, en nu wil ik voorkomen dat de hashes al te makkelijk gevonden kunnen worden m.b.v. een rainbow table. MD5 valt dus direct af. Ik ben in ieder geval van plan om unique salts te gaan gebruiken, maar ik wil zelfs dan dat een normaal letter+cijfer wachtwoord van 6 tekens niet makkelijk te kraken is met iemand die voor een paar tientjes wat Amazon instances huurt.
Ik heb een aantal varianten bekeken, en eentje die er in positieve zin gigantisch uitspringt is BCrypt. Voordeel is dat je het aantal "rekeying rounds" kan instellen, dus je kan zelf bepalen hoe zwaar of hoe moeilijk je het maakt om een rainbow table op te stellen.
Verder zijn er ook scripts als SHA512, maar volgens mij is het veel makkelijker om daar een rainbow table van te maken. Welk algoritme zouden jullie mij aanraden?
Verder vroeg ik me af of het verstandig was om e-mail adressen plain-text op te slaan in de database. Stel dat je database op een of andere manier (En dan doel ik niet meteen op een fout in de code zelf, maar misschien is er wel een bug in php of MySQL?) gehackt wordt? Dan wil je niet dat alle e-mail adressen op straat liggen. Hoe zouden jullie dat aanpakken?
Ik heb een aantal varianten bekeken, en eentje die er in positieve zin gigantisch uitspringt is BCrypt. Voordeel is dat je het aantal "rekeying rounds" kan instellen, dus je kan zelf bepalen hoe zwaar of hoe moeilijk je het maakt om een rainbow table op te stellen.
Verder zijn er ook scripts als SHA512, maar volgens mij is het veel makkelijker om daar een rainbow table van te maken. Welk algoritme zouden jullie mij aanraden?
Verder vroeg ik me af of het verstandig was om e-mail adressen plain-text op te slaan in de database. Stel dat je database op een of andere manier (En dan doel ik niet meteen op een fout in de code zelf, maar misschien is er wel een bug in php of MySQL?) gehackt wordt? Dan wil je niet dat alle e-mail adressen op straat liggen. Hoe zouden jullie dat aanpakken?