[php +mysql] wachtwoord veilig bewaren

Standaard PHP-functie voor het hashen van wachtwoorden: http://php.net/manual/en/function.password-hash.php

En natuurlijk netjes een HTTPS-verbinding gebruiken!

Als je gaat beginnen met opnieuw te programmeren kijk dan zeker naar de frameworks van tegenwoordig ... is een stuk beter/flexiber als 15 jaar geleden

Ik heb voor mijn werk een tijdje geleden daar een blog over geschreven, waar ik veel inspiratie heb opgedaan voor het technisch opslaan van wachtwoorden op deze pagina. Dit verhaal maakt mooi duidelijk waarom je absoluut geen MD5 wilt gebruiken maar mooie crypto-hash.

Bcrypt (wordt standaard gebruikt door password_hash()), Scrypt of Argon2.

Ik kan me geen reden bedenken om geen https te gebruiken. Qua programmeren is er vrijwel geen verschil, wellicht dat je alleen http wil redirecten naar https, maar dat kan ook bijvoorbeeld in Apache.

Jboy1991 schreef op woensdag 22 maart 2017 @ 08:28:
[...]


Https is een goeie daar had ik nog niet aangedacht. Laats las ik dat overheidwebsites allemaal in https moet. Is dat ook aan te raden voor een normale website (met een forum). Of kan ik dit het beste bij het login gedeelte houden.

Moet ik dan ook anders programmeren? Of is het een schild om de huidige website heen?

HTTPS wordt afgehandeld door de web-server, dus daar hoef je verder niet wat voor aan te passen in je PHP-code. Let er wel op dat je de URLs in de code naar het HTTPS-adres laat wijzen als je gebruik maakt van absolute URLs.

En het is aan te raden om gewoonweg alles over HTTPS te serveren (dus niet alleen de login), een web-server kan dat tegenwoordig zonder al te veel impact op de performance, en het zorgt er voor dat alles wat je gebruikers doen over een beveiligde verbinding gebeurt.

Jboy1991 schreef op woensdag 22 maart 2017 @ 08:36:
[...]

Ben mij zojuist verdiepen in ssl. Lees vooral dat ssl voor websites bedoelt is met commercieel oogmerk. Dat is bij mij niet het geval. Maar begreep ook dat bij het aanvragen de bedrijfgegevens worden gecontroleerd. Maar ik ben geen bedrijf het is enkel hobby werk.
Of een DV moet volstaan maar of dit veilig is?

https://www.niqex.com/ssl...DxKtAU_pBgC0yphoCJ9Dw_wcB

Maak gebruik van een dienst als Let's Encrypt voor gratis certificaten. Dingen als EV heb je helemaal niet nodig als je simpelweg de verbinding wilt beveiligen.

[ Voor 29% gewijzigd door EagleTitan op 22-03-2017 08:38 ]

Ga eens rustig zelf wat uitzoeken i.p.v. iedere kreet die je tegenkomt hier te posten. Verdiepen heet zoiets.

[ Voor 11% gewijzigd door Wietsee. op 22-03-2017 08:38 ]

SSL is makkelijk te implementeren en geeft een goed stuk veiligheid.
Als je een eigen webserver(tje) heb, installeer dan Let's Encrypt en voila, je hebt SSL.

Jboy1991 schreef op woensdag 22 maart 2017 @ 08:36:
[...]

Ben mij zojuist verdiepen in ssl. Lees vooral dat ssl voor websites bedoelt is met commercieel oogmerk. Dat is bij mij niet het geval. Maar begreep ook dat bij het aanvragen de bedrijfgegevens worden gecontroleerd. Maar ik ben geen bedrijf het is enkel hobby werk.
Of een DV moet volstaan maar of dit veilig is?

https://www.niqex.com/ssl...DxKtAU_pBgC0yphoCJ9Dw_wcB

Ssl (of eigenlijk: TLS) is voor iedere website aan te raden. Er kleeft geen enkel nadeel aan en het geeft extra zekerheid over de integriteit van de data. Daarnaast: Je bent een inlogsysteem aan het bouwen. Dat betekent sowieso al dat encryptie een absolute must is, anders gaan die passwords plain-text over de lijn.

Jboy1991 schreef op woensdag 22 maart 2017 @ 08:36:
[...]

Ben mij zojuist verdiepen in ssl. Lees vooral dat ssl voor websites bedoelt is met commercieel oogmerk. Dat is bij mij niet het geval. Maar begreep ook dat bij het aanvragen de bedrijfgegevens worden gecontroleerd. Maar ik ben geen bedrijf het is enkel hobby werk.
Of een DV moet volstaan maar of dit veilig is?

https://www.niqex.com/ssl...DxKtAU_pBgC0yphoCJ9Dw_wcB

Een DV is op zich voldoende, daar worden geen bedrijfsgegevens gecontroleerd, alleen het domein. Bij OV/EV worden wel meer gegevens gecontroleerd, zoals bv Whois en KvK.

SSL wordt veel gebruikt bij websites met commercieel oogmerk, maar dat is vooral ook een Google dingetje denk ik. In principe zou iedere website waar gegevens naar worden verstuurd SSL moeten gebruiken (mijn mening), puur omdat dit ervoor zorgt dat niemand het verkeer tussen de bezoeker/klant en de server kan lezen. Denk bijvoorbeeld aan een contactformulier, inlogfunctie, en inderdaad voor webshops, de adres- of betaalgegevens.

Als er persoonsgegevens worden verwerkt dan is een SSL-certificaat verplicht. Je verwerkt al snel persoonsgegevens, want een e-mailadres is dat bijvoorbeeld ook.

Web-Brielle schreef op woensdag 22 maart 2017 @ 08:38:
SSL is makkelijk te implementeren en geeft een goed stuk veiligheid.
Als je een eigen webserver(tje) heb, installeer dan Let's Encrypt en voila, je hebt SSL.

Sowieso wil je over op ssl, grote browser gaan je site gewoon als onveilig gaan bestempelen.

Zodra je een site bezoekt met een login form en geen https krijg je bij chrome al een warning in je adresbalk, firefox hetzelfde.

orf schreef op woensdag 22 maart 2017 @ 08:50:
Als er persoonsgegevens worden verwerkt dan is een SSL-certificaat verplicht. Je verwerkt al snel persoonsgegevens, want een e-mailadres is dat bijvoorbeeld ook.

Ik vind het nogal een boute stelling die je hier doet in je 1e zin. Heb je daar ook nog enige onderbouwing voor waaruit zou blijken dat het verplicht zou zijn?

Want ik schat dat rustig 70% van het internet hier niet aan voldoet... Zoals je zelf al zegt, elke site die een e-mail adres kan vragen mag dan al niet meer op http zitten.

De WBP is voor interpretatie vatbaar. Persoonsgegevens moeten adequaat beschermd worden. Je zou met de huidige stand van de techniek, best hard kunnen maken dat een site die geen versleutelde verbinding gebruikt, geen adequate bescherming biedt.

Jboy1991 schreef op woensdag 22 maart 2017 @ 08:41:
[...]

Informatie vragen heet na mijn idee verdiepen. Zoals ik aangaf ben ik nog van het "oude" programmeren. Hier worden termen gebruikt die toen ik er actief mee bezig was niet aan de orde was. (Md5 voldeed toen prima). Inmiddels moet je alles (logisch) afdekken ivm een wet die ingegaan is.

Ik heb geen zin dat ik perongeluk data lek en vervolgens een boete krijg. Ik neem aan dat de personen die mij hier advies hebben gegeven weten waarover zij praten en op internet krijg je zoveel verschillende verhalen.

Ik heb heel veel gehad aan let's encrypt. Bij deze partij kan je een gratis certificaat aanmaken welke gekoppeld is aan je domeinnaam. Op de website staat eenvoudige documentatie om dit werkend te krijgen op je eigen domein. Ik heb zelf een hobbyist en vond het uiteindelijk verdomd makkelijk om dit werkend te krijgen.

Daarnaast is er echt genoeg op internet te vinden over het fatsoenlijk opslaan van wachtwoorden. Volgens mij is er niet extreem veel veranderd, alleen dat je md5 gewoon niet meer moet gebruiken voor gevoelige zaken. En het standaard gegeven dat je form input van gebruikers gewoon nooit moet vertrouwen.

mcDavid schreef op woensdag 22 maart 2017 @ 11:52:
De WBP is voor interpretatie vatbaar. Persoonsgegevens moeten adequaat beschermd worden. Je zou met de huidige stand van de techniek, best hard kunnen maken dat een site die geen versleutelde verbinding gebruikt, geen adequate bescherming biedt.

Adequaat hangt ook samen met welke gegevens je wil beschermen en waarvoor. Zo zal je voor een e-mail adres voor een forum over Disney kleurplaten een andere beveiliging moeten hebben dan voor een e-mail adres op een forum voor geslachtsziektes en weer een andere beveiliging voor een heel medisch dossier.

Hoewel er echt geen enkele reden (behalve luiheid) te bedenken is om je site niet over https te doen, is het m.i. te kort door de bocht om te stellen dat een site zonder https per definitie geen adequate beveiliging heeft.

Icekiller2k6 schreef op woensdag 22 maart 2017 @ 08:06:
Als je gaat beginnen met opnieuw te programmeren kijk dan zeker naar de frameworks van tegenwoordig ... is een stuk beter/flexiber als 15 jaar geleden

^ dit. Ga niet het wiel opnieuw uitvinden. 15 jaar geleden kon dat nog wel en moest het wellicht ook. Tegenwoordig is dat echt nergens meer voor nodig.

Jboy1991 schreef op woensdag 22 maart 2017 @ 13:14:
[...]

Wat bedoel je met dat laatste. Ik zelf controleer altijd of de gegeven kunnen kloppen (kan het mail adres bestaan, kan de geb kloppen, voldoet de nickname en pass aan de eisen)

Neem aan dat ik dit dus al goed doe. Of doel je op iets anders?

Ik bedoel dat ja.
En wat emnich zegt. Kijk ook eens naar een framework.

succes