Toon posts:

[Privacy] Md5 of niet...

Pagina: 1
Acties:

woensdag 22 mei 2002 21:09

Acties:

Verwijderd

Topicstarter
Ik ben bezig met een CMS waarin ook gebruikers kunnen registreren, het wordt een kleine community.

Nu vraag ik me af of het "wel kan" dat de administrator de passwords van de gebruiker kan lezen, dit is natuurlijk op te lossen door er een md5() bij te gooien maar dan is het weer moeilijk om een password terug te mailen als hij kwijt is.... want dan moet je een nieuw password aanmaken omdat de admin de md5() natuurlijk niet kan ontcijferen en dit is qua scripting wat omslachtiger...

Wat doen jullie over het algemeen met passwords?

woensdag 22 mei 2002 21:13

Acties:
  • martinvw
  • Registratie: Februari 2002
  • Laatst online: 14-12-2025

martinvw

Ik ga binnenkort iets bouwen en daarin zal het wachtwoord gewoon gereset worden. Want ik geef de voorkeur aan de veiligheid van gecodeerde wachtwoorden.

woensdag 22 mei 2002 21:16

Acties:

Verwijderd

Topicstarter
Maar bijvoorbeeld bij sites waar je password toegemailt kan worden is dit niet zo lijkt me...

woensdag 22 mei 2002 21:18

Acties:
  • Limhes
  • Registratie: Oktober 2001
  • Laatst online: 09-04 16:10

Limhes

je kan toch gewoon een random paswoord aanmaken en dat mailen, en vervolgens laat je diegene ut paswoord veranderen als ie eenmaal ingelogd is...
wel zo veilig

woensdag 22 mei 2002 21:19

Acties:
  • PjotrP
  • Registratie: Augustus 2001
  • Laatst online: 09:27

PjotrP

Ik heb een aantal CM systemen gebouwd. Sommige beter beveiligd dan andere. Waar het vanaf hangt, is wie er allemaal mag inloggen.
Een intranet-site van ons is slechts toegankelijk voor de (11) werknemers. Wachtwoordbeveiliging is daar geen issue: de firewall doet het werk wel.
Voor een grote studentensite (waar alle 350 leden kunnen inloggen) hebben we echter md5 hashes gebruikt. De code hebben we ge-open-sourced en de site is enorm veilig en goed gestructureerd, met maar weinig extra moeite. Een aanrader!

Zonnepaneel installateur

woensdag 22 mei 2002 21:19

Acties:
  • Glimi
  • Registratie: Augustus 2000
  • Niet online

Glimi

Designer Drugs

(overleden)
Op woensdag 22 mei 2002 21:16 schreef Timz het volgende:
Maar bijvoorbeeld bij sites waar je password toegemailt kan worden is dit niet zo lijkt me...
Nee, dan is dat inderdaad niet zo. Dan zal dit of niet, of met een encodatie gebeurd zijn.

Maar het beste is IMHO om te hashen. Als mensen dingen uit je db weten te frutselen, kunnen ze er nog geen moer mee. En als men het wachtwoord kwijt is, tja, jammer maar dan maar een nieuwe die men kan wijzigen....

woensdag 22 mei 2002 21:21

Acties:

Verwijderd

Topicstarter
Op woensdag 22 mei 2002 21:18 schreef Limhes het volgende:
je kan toch gewoon een random paswoord aanmaken en dat mailen, en vervolgens laat je diegene ut paswoord veranderen als ie eenmaal ingelogd is...
wel zo veilig
Ja dit is het probleem niet, het probleem is: hoe zet je het password vervolgens in de DB zoals ik beschreef...

Het is makkelijker om geen md5 te gebruiken vanwege het snel kunnen retourneren van het password

woensdag 22 mei 2002 21:22

Acties:
  • Limhes
  • Registratie: Oktober 2001
  • Laatst online: 09-04 16:10

Limhes

Op woensdag 22 mei 2002 21:21 schreef Timz het volgende:

[..]

Ja dit is het probleem niet, het probleem is: hoe zet je het password vervolgens in de DB zoals ik beschreef...

Het is makkelijker om geen md5 te gebruiken vanwege het snel kunnen retourneren van het password
wat ik dus bedoel is dat je met mijn manier _wel_ md5 kunt gebruiken omdat je het bestaande paswoord niet _hoeft_ trug te mailen...
en md5 is wel zo veilig...

woensdag 22 mei 2002 21:25

Acties:

Verwijderd

Topicstarter
Ik denk inderdaad toch dat de md5() veiliger is... zo ontzettend extra veel code hoef je ook weer niet te kloppen om automatisch een nieuw password toe te kennen...

woensdag 22 mei 2002 21:48

Acties:

Verwijderd

het gaat hier denk niet echt over de privacy,
meer over de veiligheid van passes in je db.

woensdag 22 mei 2002 23:44

Acties:

Verwijderd

Topicstarter
Ja dat ook natuurlijk maar stel nou dat een onwetende gebruiker lekker zijn algemene username / password zal gebruiken (misschien wel rek nr. + pincode stel je voor!!!) dan zou een admin daar hele enge dingen mee kunnen doen...

woensdag 22 mei 2002 23:49

Acties:
  • WOmBaT
  • Registratie: September 2000
  • Laatst online: 30-11-2025

WOmBaT

Nyaaa!!!

Ik zou er gewoon voor kiezen om md5 te gebruiken.

Wachtwoord vergeten? --> nieuw random naar emailadres en is zo te veranderen.
Verder kan degene die toch eventueel toegang zou krijgen tot de database het wachtwoord niet kunnen lezen.

Het is allemaal vrij simpel te implementeren en het werkt een stuk veiliger :)

woensdag 22 mei 2002 23:49

Acties:
  • Orphix
  • Registratie: Februari 2000
  • Niet online

Orphix

Moreel vind ik dat een website de wachtwoorden (=nederlands) moet hashen (=engels >:)). Het is informatie die hij op geen enkele manier nodig heeft. Het kan alleen misbruikt worden om bv mijn e-mail op te halen, als ik hetzelfde wachtwoord gebruik.
Sites die mijn wachtwoord gewoon terug kunnen sturen irriteert me direct al omdat ze dus gewoon mijn wachtwoord kunnen zien. De functie om een nieuw wachtwoord op te sturen en te wachten op antwoord is een hele goede manier. Ik zie geen reden om dit niet zo te gebruiken.

donderdag 23 mei 2002 09:34

Acties:

Verwijderd

Op woensdag 22 mei 2002 23:44 schreef Timz het volgende:
(misschien wel rek nr. + pincode stel je voor!!!)
mensen zijn toch niet dom ? Hij zeg het wordt een kleine community.

donderdag 23 mei 2002 09:41

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Persoonlijk md5 ik wachtwoorden nooit in de db. Dat doe ik eigenlijk om drie redenen

1/ Wachtwoord kunnen mailen als het moet
2/ Je kan via een client-side MD5 (javascript) secure het wachtwoord over het net sturen.
3/ Als iemand in mijn database kan komen dan zijn de wachtwoorden van de mensen de minste problemen.

Programmer - an organism that turns coffee into software.

donderdag 23 mei 2002 09:42

Acties:

Verwijderd

Topicstarter
Dude, onderschat de 'niet wetend waar ze eigenlijk mee bezig zijn' factor van gebruikers niet hoor! je zal bedrogen uitkomen als je denkt dat iedereen maar lekker veilig bezig is!

donderdag 23 mei 2002 09:45

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Op donderdag 23 mei 2002 09:42 schreef Timz het volgende:
Dude, onderschat de 'niet wetend waar ze eigenlijk mee bezig zijn' factor van gebruikers niet hoor! je zal bedrogen uitkomen als je denkt dat iedereen maar lekker veilig bezig is!
Eens....

Als iemand zijn wachtwoord af geeft kan jij er nooit wat aan doen....

Programmer - an organism that turns coffee into software.

donderdag 23 mei 2002 10:49

Acties:
  • RickN
  • Registratie: December 2001
  • Laatst online: 14-06-2025

RickN

Hoe precies doen "jullie" dat aanmelden bij een server doorgaans? Wat doet de server en wat doet de client bij het aanmelden, dat soort dingen. Het aanmeldings protocol dus eigenlijk?

He who knows only his own side of the case knows little of that.

donderdag 23 mei 2002 10:54

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Op donderdag 23 mei 2002 10:49 schreef RickN het volgende:
Hoe precies doen "jullie" dat aanmelden bij een server doorgaans? Wat doet de server en wat doet de client bij het aanmelden, dat soort dingen. Het aanmeldings protocol dus eigenlijk?
Ik maak op dit moment alleen intranet/internet sites. Maar aanmelding werkt als volgt.

1/ Server stuur form pagina met een key (timestamp of zo)
2/ Client vult zijn username en ww in.
3/ Clientside word er een md5 hash gemaakt van zijn ww en de key uit optie 1. ww wordt uit de form gewist. En key, username, md5 hash worden naar de server gestuurd.
4/ Aan de hand van key en ww uit de database kan ik controleren of het ingevoerde wachtwoord correct is. User is ingelogt.

Programmer - an organism that turns coffee into software.

Pagina: 1
Reageer