Salt

die voor iedereen het zelfde is natuurlijk alsie random is hoe wil je dan verglijken of de passwords die je leden invoeren wel kloppen?

Het is veiliger hashes als MD5, SHA1 of combinaties / minder bekende methoden te gebruiken. Wil je namelijk een eigen encryptie gebruiken, zul je ze hoe dan ook op moeten slaan in de database mét decryptie, en dat is iets wat je niet wilt!

het beste is gewoon de salt voor iedereen het zelfde te maken
als je een goeie salt gebruikt + md5 isie zoiezo al niet te kraken.

Bram, alles is te kraken. Het zal in elk geval moeilijker zijn!

Citaat van Prei

Bram, alles is te kraken. Het zal in elk geval moeilijker zijn!

ja maar niemand doet de moeite voor een criminals site of zoiets dergelijks met onder de 1miljoen unieke pageviews per maand (minstens) om zoiets te kraken. (als je een goeie salt hebt dan he)

De random hash per user is zo gek nog niet hoor. PHPBB maakt er ook gebruik van bijvoorbeeld.

Je moet alleen eerst een query uitvoeren naar de desbetreffende gebruiker en dan de salt key opvragen. Wat je nu zal denken waarschijnlijk is dat je nu het wachtwoord gaat encrypten met de salt key en dan een nieuwe query uitvoert om te zien of het beide klopt (user en password).

Maar je kan ook gewoon het wachtwoord (wat al gehashed is) naast de salt key opvragen en dan gewoon een controle uitvoeren scheelt toch weer 1 query :p

Citaat

Je moet alleen eerst een query uitvoeren naar de desbetreffende gebruiker en dan de salt key opvragen. Wat je nu zal denken waarschijnlijk is dat je nu het wachtwoord gaat encrypten met de salt key en dan een nieuwe query uitvoert om te zien of het beide klopt (user en password).

Waarom?
SELECT id FROM users WHERE password = SHA1(CONCAT('INVOER',salt) AND login = 'INVOER'

Überhaupt een salt gebruiken is al wel voldoende. Zo schakel je rainbow tables zo goed als uit, en dat is toch wat je wilt.

Hmm zo had ik het nog niet gezien Stefan :p