Vraag en Beantwoord

Iedere zaterdag om 19.05 uur op

Rapporteren

Let op: Deze rapporteerfunctie is bedoeld om schendingen van de huisregels voor Vraag & Beantwoord te melden. De redactie beoordeelt jouw melding alleen daarop. Wil je dat jouw reactie ook op het forum leesbaar is? Log dan eerst in op de Kassa-site en plaats je bijdrage. Of start zelf even een topic met je eigen vraag erin verwoord.

Heb je een vraag voor Kassa? Stel deze dan via dit contactformulier.

Je wilt de volgende vraag rapporteren aan de redactie:

dobby - 05-10-2011 17:12:50
Computers & Telefonie

Hoe veilig is een wachtwoord

Tsja... nog veel (helaas) websites slaan het wachtwoord wat jij invult gewoon op in een database.. als je inlogt zoeken ze met je onlognaam je wachtwoord op en vergelijken dat.. en dan kom je er wel of niet in.. simpel, eenvoudig, en je kan dus de wachtwoorden achterhalen.

de "betere" manier (o jee.. wat heb ik gezegd lol) is nu om niet het wachtwoord op te slaan, maar om iets met dat wachtwoord te doen (te hashen, er een berekening op los te laten) en dan die hash op te slaan; bij het inloggen gewoon weer op username de hash opzoeken.. dezelfde functie op het ingevoerde wachtwoord loslaten.. en hebbes - je bent er in of niet.

caveat:

voordelen: de wachtwoorden staan niet in een database.. bij een hacker / website lek / rotte webadmin/sysadmin kunnen de wachtwoorden niet uitlekken. mensen die de database kunnen zien zouden jouw manier van wachtwoorden genereren kunnen afleiden, en daaruit misschien op anderen websites onder jouw account proberen in te loggen; als de gebruiker zn password kwijt is kan je hem het (na wat extra checks) toesturen.. enz enz

nadelen: je kan een user dus niet zn password toesturen (sic); de gebruikte hashfunctie moet "goed" zijn... (voorbeeld: de lengte van het password als hashfunctie is niet zo goed.. er zijn meerdere passwords die dezelfde hash genereren, en dat is niet wenselijk!!).. de gebriukte hasfunctie mag niet "te duur" zijn (te rekenintensief) omdat het snel moet gaan.

nu zijn deze nadelen redelijk niet van toepassing omdat er gewoon bestaande, veel gebruikte functies zijn om dit te implementeren.. maar ok - af toe komt er nieuwsbericht dat er toch weer "nadelen" / "zwakheden" in een veel gebruikte hashunctie gevonden is..

(ok - we kunnen nu wel verder hele verhandeling gaan houden over hasing en encryption en dergelijke, maar behalve de stokpaardjes zelf zal niemand daar op zitten te wachten).

even naar je vraag terug: het is dus mogelijk doordat de desbtreffende website (imo verkeerd) heeft gekozen om de wachtwoorden zelf op te slaan (al dan niet versleuteld, maar toch).. die sterretjes, zoals ook al eerder hierboveb vermeld, zijn puur de weergave in je browser.. puur cosmetisch.. hebben niets met de data van doen.. (er zijn zelfs programma's die de sterretjes kunnen "terugzetten" als het maskeren lokaal op jouw pc gebeurt in plaats van dat de website sterretjes terugstuurt).. (er is een standaard windows functie van "laat alles hier zien als sterretjes")..