Veilig inlogsysteem

MD5 alleen al is zeer veilig.

md5(md5($invoer) . md5($invoer));

Is misschien ook handig.

@BrokenTrack,
MD5 is zeker niet veilig,
Je kunt 'm decrypten met behulp van: http://www.md5decrypter.co.uk/

yep dat is waar je kan hem decrypten met software
maar ook decryptors kunnen dat binnen een bepaalde tijd doen
sha1() lijkt me beter

Citaat van bboy

@BrokenTrack,
MD5 is zeker niet veilig,
Je kunt 'm decrypten met behulp van: http://www.md5decrypter.co.uk/

Mijne kraakt die anders niet
Ze gebruiken brute force. Ze hebben zeer veel standaard md5 wachtwoorden in de database gezet en bij een match heb je beet. Maar dat is dus volgens mij enkel met de gewone md5(), dubbel wordt al een stuk ingewikelder en zeker met die ik net opgaf.

Oftewel salt & pepper techniek kan je beter aanpassen(veranderen) en dan met sha1() (of md5() wat ik niet aanraad)

http://ep2.nl/thread-4026.html
Lees dat eens

Zoals ismail123 als heeft vermeld= SHA1 is vele beter.

Of je kan leuk googelen met substr() in een loop en dan tussen elk (bv: )2e letter/cijfer een stukje salt of pepper tussen doen:P

Een md5 van meer dan 6 Letters duurt uren om te kraken.
je kunt ook md5(md5(crypt_md5(crc32($password))));
doen dit geeft een hacker ook al veel moeite.

Ik gebruik sha512 alleen dan moet je wel de php hash functie gebruiken.:k

Je kan ook meerdere encode functies gebruiken.

Bv

<?php
$wachtwoord = "password";
$wachtwoord = md5($wachtwoord);
$wachtwoord = sha1($wachtwoord);
 ?>

Je moet dan natuurlijk in de omgekeerde volgorde decoden.

Oo had de SHA1 niet gezien. Sorry Ziet er voor de rest oke uit !

Wanneer men weet op wat voor manier jij je password opslaat is de kans al groter dat hij kan worden gekraakt.

Maar wanneer jij gebruik maakt van de hash technieken wordt dit moeilijker, denk hierbij aan grote reeks van hash tekens.

Voorbeeld:

$password = array();
$password['normal'] = "test";
$password['sha1'] = sha1($password['normal']]);
$password['sha512'] = hash("sha512", $password['sha1']);


foreach( $password as $key => $pass ) {
     echo $key .' => '. $pass;
}

test dit uit en je zal zien dat de reeks veranderd, hoe meer tekens hoe veiliger het eigenlijk wordt. Aangezien bruteforcen heel veel tijd in beslag neem is een grote reeks aantekens al beter. Maar let op alles is te kraken niet beweren dat het niet zo is maar het duurd wel super lang voor dat het is gebeurd, maar het kan wel!

eeyk
Uren? Beetje kort, niet? Mocht je gelijk hebben dan al een reden om MD5 niet te nemen. Het zou vele jaren moeten duren om een collision te vinden.

<?php


function hash_password($password, $salt = NULL, $iterations = NULL)
{
    $iterations = (int) $iterations;


    do
    {
        $password = hash_hmac('sha512', $password.$salt, 'pepper-verander dit');
    }
    while($iterations-- > 0)


    return $password
}


// gebruik bij wachtwoord wijzigen
if ($user->password === hash_password($password, $user->salt, $user->iterations))
{
    $password = hash_password($password, genereer_random_salt(/* hoeft geen functie te zijn, zolang het maar random word */), mt_rand(8000, 12000));
}
else
{
    // wachtwoord komt niet overeen
}

Elke user heeft (waarschijnlijk) een eigen salt, daarnaast heeft het ook nog een eigen iteratie count. De combinatie zal zo goed als uniek zijn. Bruteforcen hoort al lang te duren, maar als je 8000-12000 keer die functie aanroept zal het bruteforcen 8000-12000 keer langer duren. Een hash genereren zal niet lang duren, dus tijden het inloggen zullen je gebruikers er niets van horen te merken, maar iemand die je hashes wilt bruteforcen? Die gaat het zeker merken!