Ok, het volgende,
ik ben bezig met een site, nu heb ik de login pagina beveiligd met de volgende methode (ook van t.net geplukt):
(1) Server stuurt client random var, $rnd
(2) Client neemt MD5 hash van ingetyped password, $md5up = md5($userpass)
(3) Client string concat (1) met (2) en neemt daar md5 hash van, $net = md5($md5up.$rnd)
(4) Client stuurt server $net, niet in plaintext en ook geen replay attack mogelijk
(5) Server haalt echte gehashde wachtwoord uit database, $md5realpass. Wachtwoorden staan niet plaintext in de database dus.
(6) Server vergelijkt. $net == md5($md5realpass . $rnd). Als gelijk, login correct.
Alleen, nu wil ik ook de mogelijkheid een user toe te voegen via de site zodat deze ook op de site kan komen.
Nu kan ik het password voor de nieuwe gebruiker wel MD5 over het netwerk sturen, maar ik wil eigenlijk net zoiets als bovenstaande methode, heb alleen geen idee hoe dat te doen.
iemand een oplossing?
ik ben bezig met een site, nu heb ik de login pagina beveiligd met de volgende methode (ook van t.net geplukt):
(1) Server stuurt client random var, $rnd
(2) Client neemt MD5 hash van ingetyped password, $md5up = md5($userpass)
(3) Client string concat (1) met (2) en neemt daar md5 hash van, $net = md5($md5up.$rnd)
(4) Client stuurt server $net, niet in plaintext en ook geen replay attack mogelijk
(5) Server haalt echte gehashde wachtwoord uit database, $md5realpass. Wachtwoorden staan niet plaintext in de database dus.
(6) Server vergelijkt. $net == md5($md5realpass . $rnd). Als gelijk, login correct.
Alleen, nu wil ik ook de mogelijkheid een user toe te voegen via de site zodat deze ook op de site kan komen.
Nu kan ik het password voor de nieuwe gebruiker wel MD5 over het netwerk sturen, maar ik wil eigenlijk net zoiets als bovenstaande methode, heb alleen geen idee hoe dat te doen.
iemand een oplossing?
:strip_icc():strip_exif()/u/57106/crop5bbdcd833a819_cropped.jpeg?f=community)
:strip_exif()/u/9959/glimi.gif?f=community)
