[php] MD5 wachtwoord beveiliging werkt niet *

Staat je kolom wachtwoord in de tabel misschien op minder dan 32 karakters?

32 he

MD5 = 2^5 = 32 (altijd)

En MD5 is niet terug te coderen. Dat is juist de kracht ervan. Je moet de ongecodeerde waarde met dezelfde sleutel coderen en dat resultaat gaan vergelijken met de MD5-waarde in je DB

MD5 is volgens mij een onomkeerbare encryptie, daar er een vaste (onbekende) key gebruikt wordt. Correct me if I'm wrong
Waarom gebruik je trouwens niet de password() functie?

addslashes zet een \ voor een single,dubbele kwoot, backslash en nul.

gebruikt:
$geslashed = addslashes($nognietgeslashed);

Je zet MD5 password in je database, deze is niet te "decrypten".
ALs iemand invulformuliertje opstuurt, zet jij dat wachtwoord (md5("$string");) in MD5, en dan if ($dbPassword == $ingevuldePassword) ben je erdoorheen.

Als je later terug wilt kijken naar wat het wachtwoord is, is het niet zo slim. Als jij zegt van, ze vullen dat eens in en dan moeten ze het maar onthouwen, dan kun je gerust MD5 gebruiken.

MD5 is geen encryptie, het is een hash. De MD5 string bevat het originele wachtwoord dus niet meer.

dawuss schreef op 12 januari 2003 @ 20:49:
MD5 is volgens mij een onomkeerbare encryptie, daar er een vaste (onbekende) key gebruikt wordt. Correct me if I'm wrong
Waarom gebruik je trouwens niet de password() functie?

Er zijn wel open-source scripts voor verkrijgbaar, het werkt niet eens met een key volgens mij. Er wordt gewoon een reeks wiskundige bewerkingen uitgevoerd, die niet omkeerbaar is.

voorbeeld:
password ingetypt door gebruiker: abc';update users set password=md5('abc');
je query bv: update users set password='$abc' where user='m4rt1n';
vat je de quotes al?
addslashes zou er van maken:
update users set password='abc\';update users set password=md5(\'abc\');' where user='m4rt1n';

Voor zover ik had begrepen is het inderdaad daarvoor. Zodat mensen niet in bijvoorbeeld de password string nog eens met html/php code kunnen gaan rommelen.

Het coderen in MD5 heb ik eindelijk ook helemaal door.. en ik kwam in het begin op hetzelfde probleem als jij Even database aanpassen en het werkte weer.

Als mensen hun wachtwoord vergeten.. jammer dan, verzin maar een nieuwe en encode die opnieuw. Zo heb ik het in ieder geval gedaan. Je zou eventueel ook base_64_encode en base_64_decode kunnen gebruiken met bijvoorbeeld een extra toegevoegde string die vast staat op de server en gebruikers niet weten.

Als je die extra string niet wee kun je ook niet decoden. Het is uiteraard niet zo veilig als MD5 en ik weet ook niet of het wel een geschikte functie is voor wachtwoorden, maar ik heb er ook mee zitten spelen

KorZijl schreef op 12 januari 2003 @ 20:48:
MD5 = 2^5 = 32 (altijd)

uhm ja, leuke berekening... 20 + 12 is ook 32
Het is idd 32, maar hoe kom jij aan 2⁵ Die 5 is iig niet de 5 in MD5. De 5 is slechts de versie: Message Digest #5. En dat is de opvolger van, jawel, MD4 (die ook 128 bits is)

Verwijderd schreef op 12 January 2003 @ 22:03:

Er zijn wel open-source scripts voor verkrijgbaar, het werkt niet eens met een key volgens mij. Er wordt gewoon een reeks wiskundige bewerkingen uitgevoerd, die niet omkeerbaar is.

Het werkt wel met een 'key', maar dat is zeg maar de beginwaarde van de 128 bits uitkomst. In de documentatie over MD5 staat een waarde van ik geloof 01234567 - 89abcdef - fedcba98 - 76543210. Dus als je deze waarde gebruikt dan heb je de officiele MD5, maar je kunt natuurlijk ook gewoon een andere waarde kiezen, waardoor er een totaal andere hash uit komt

Kaastosti schreef op 13 januari 2003 @ 00:18:
Voor zover ik had begrepen is het inderdaad daarvoor. Zodat mensen niet in bijvoorbeeld de password string nog eens met html/php code kunnen gaan rommelen.

Het coderen in MD5 heb ik eindelijk ook helemaal door.. en ik kwam in het begin op hetzelfde probleem als jij Even database aanpassen en het werkte weer.

Als mensen hun wachtwoord vergeten.. jammer dan, verzin maar een nieuwe en encode die opnieuw. Zo heb ik het in ieder geval gedaan. Je zou eventueel ook base_64_encode en base_64_decode kunnen gebruiken met bijvoorbeeld een extra toegevoegde string die vast staat op de server en gebruikers niet weten.

Als je die extra string niet wee kun je ook niet decoden. Het is uiteraard niet zo veilig als MD5 en ik weet ook niet of het wel een geschikte functie is voor wachtwoorden, maar ik heb er ook mee zitten spelen

het idee van een hashed wachtwoord is dat het wachtwoord nergens staat, en er dus ook niets gekraakt kan worden om achter een wachtwoord van iemand te komen. Als jij dan een een of andere encryptie gebruikt is het wachtwoord ook te achterhalen. Misschien wat moeilijker voor krakers, maar niet voor de maker van het systeem oid.

En dan nog iets, base_64_encode is geen encryptie, het is alleen een systeem om 8-bits strings om te zetten naar 6-bits strings door alleen gebruik te maken van 64 leesbare tekens (a-z, A-Z, 0-9, = en /), zodat ze gebruikt kunnen worden in text-streams zoals bijvoorbeeld e-mail. Dus als jij dit gebruikt samen met een extra toegevoegde string dan kan het nog steeds gedecodeerd worden, alleen krijg je de uitkomst met de toegevoegde string. Dat valt voor 1 wachtwoord misschien niet op, maar als je 3 van die wachtwoorden decodeerd en er zit in alle 3 dezelfde string kun je ook wel verzinnen dat dat er dus niet bij hoort

.edit: titel trouwens ook wat zinniger gemaakt

[ Voor 78% gewijzigd door .oisyn op 13-01-2003 01:32 ]

.oisyn schreef op 13 January 2003 @ 01:00:
En dan nog iets, base_64_encode is geen encryptie, het is alleen een systeem om 8-bits strings om te zetten naar 6-bits strings door alleen gebruik te maken van 64 leesbare tekens (a-z, A-Z, 0-9, = en /), zodat ze gebruikt kunnen worden in text-streams zoals bijvoorbeeld e-mail. Dus als jij dit gebruikt samen met een extra toegevoegde string dan kan het nog steeds gedecodeerd worden, alleen krijg je de uitkomst met de toegevoegde string. Dat valt voor 1 wachtwoord misschien niet op, maar als je 3 van die wachtwoorden decodeerd en er zit in alle 3 dezelfde string kun je ook wel verzinnen dat dat er dus niet bij hoort

bij base64 encoding zijn de laatste 2 'tekens' + en /, niet = en /.
== en = worden gebruikt om aan te geven dat de laatste groep respectievelijk 8 of 16 bits bevatte.

yup klopt helemaal, had ik me even in vergist

RedHat schreef op 12 January 2003 @ 21:57:
Je zet MD5 password in je database, deze is niet te "decrypten".
ALs iemand invulformuliertje opstuurt, zet jij dat wachtwoord (md5("$string");) in MD5, en dan if ($dbPassword == $ingevuldePassword) ben je erdoorheen.

Over het algemeen concatenate je ook nog ff de username erbij, bijv. storedhash = md5(username + password). Op deze manier voorkom je dat 2 gebruikers stomtoevallig hetzelfde password hebben en dat vervolgens iemand herkent dat ze dezelfde hash in de DB hebben zitten. Met username erbij is ie (almost) guaranteed unique.

En bij een challenge-response mechanisme pak je een timestamp erbij, maja dat is hier niet aan het handje