Menu

Hoe sla ik wachtwoorden veilig op

King

De avatar van King
  • Verbannen
  • Verbannen
Geplaatst 1 week, 6 dagen geleden

Hoi,

Ik ben een PHP applicatie aan het maken. Dit keer zonder Laravel. Maar ik vraag mij dus af hoe ik het best wachtwoorden kan opslaan. Ik wilde ze eerst encrypten met base64() maar dat lijkt niet te mogen omdat het niet veilig is. Ook wilde ik daarna gebruik van maken van md5() maar daar was ook weer wat mee.. is sha1() wel beter dan? of moet ik wat anders kiezen?

Tim

De avatar van Tim
  • Moderator : Jacky❤
  • Moderator
Geplaatst 1 week, 6 dagen geleden

Maak gebruik van passwordhash()

Afwezig t/m 30 mrt.

Progy

De avatar van Progy
  • PROGY.DEV
  • Geregistreerd
Geplaatst 1 week, 6 dagen geleden

Ik maak gebruik van sha512 en dan met een eigen salt erbij :d

Optifexer

De avatar van Optifexer
  • Geregistreerd lid
  • Geregistreerd
Geplaatst 1 week, 6 dagen geleden

Ik gebruik meestal gewoon de crypt functie, met een salt die je bij registratie laat genereren.

King

De avatar van King
  • Verbannen
  • Verbannen
Geplaatst 1 week, 5 dagen geleden

Up.🙂

OMG

De avatar van OMG
  • Geregistreerd lid
  • Geregistreerd
Geplaatst 1 week, 5 dagen geleden
  1. Wachtwoorden encrypt je niet, maar hash je. Encryption = two way, hashing = one way.

  2. Base64 is geen encryptie, maar encoding.

  3. MD5 is inderdaad niet aan te raden voor het hashen van wachtwoorden, maar hetzelfde is wat mij betreft geldig voor SHA1.

Tim: passwordhash() is geen functie, password_hash() wel.🙂

https://secure.php.net/manual/en/function.password-hash.php

password_hash() gebruikt by default bcrypt, wat dikke prima is. Ik zou gewoon voor password_hash() gaan. Zit standaard in elke PHP versie sinds 5.5.0, al raad ik je aan minimaal te gaan voor PHP 7.1 of hoger. PHP 7.0 is al end-of-life verklaard namelijk!

Sevvlor

De avatar van Sevvlor
  • Geregistreerd lid
  • Geregistreerd
Geplaatst 1 week, 5 dagen geleden

Aanvullend op wat OMG zegt: je kan eventueel ook voor argon2 gaan als je php 7.3 hebt

Clippit should work on the suicidal hot line: "It seems you want to die, would you like a list of ways to die?"

King

De avatar van King
  • Verbannen
  • Verbannen
Geplaatst 1 week, 4 dagen geleden

Thx voor alle hulp. Ik ben begonnen met het aanpassen naar password_hash() Maar op welke manier meot ik ni er voor zorgen dat een gebruiker zijn oude wachtwoord weer kan ophalen?

Progy

De avatar van Progy
  • PROGY.DEV
  • Geregistreerd
Geplaatst 1 week, 4 dagen geleden

Controle uitvoeren

if($password !== $password2){
   echo 'nee mag niet';
}

Mustache

De avatar van Mustache
  • Donateur
  • Donateur
Geplaatst 1 week, 4 dagen geleden Sevvlor

Hoe bedoel je met je vorige vraag? Ik check het om deze simpele manier:

if (password_verify($old_ww, $user->password)) {
//verder
} else {
//nee je bent dood
}

[center]
Contactgegevens
Skype: live:nyma_nl
Discord: Mustache#4968
[/center]

King

De avatar van King
  • Verbannen
  • Verbannen
Geplaatst 1 week, 4 dagen geleden

Wat je moet doen als een gebruiker zijn wachtwoord vergeten is, hoe moet ik het wachtwoord via de mail opsturen dan?

Johan

De avatar van Johan
  • IT-student
  • Donateur
Geplaatst 1 week, 4 dagen geleden

King
Wat je moet doen als een gebruiker zijn wachtwoord vergeten is, hoe moet ik het wachtwoord via de mail opsturen dan?

Waarom stuur je niet gewoon een link naar de gebruiker waar die zelf een nieuw wachtwoord kan instellen ?

Sevvlor

De avatar van Sevvlor
  • Geregistreerd lid
  • Geregistreerd
Geplaatst 1 week, 3 dagen geleden

Ik zou de gebruiker dan een url-token sturen. Met die url kan een gebruiker dan zelf een Sterk wachtwoord kiezen. Let wel op met hoe je die token in de url implementeert. Je moet er voor zorgen dat de token lang genoeg is, goed random is (dus niet gebaseerd op gebruikersnaam, mail, tijd of iets anders wat te raden is). Daarnaast moet de token beperkt geldig zijn. Dat wil zeggen dat de token dus moet verlopen na X aantal uur.

Clippit should work on the suicidal hot line: "It seems you want to die, would you like a list of ways to die?"

King

De avatar van King
  • Verbannen
  • Verbannen
Geplaatst 1 week, 3 dagen geleden

Thx ik ga mijn best doen❤ slotje

Sevvlor

De avatar van Sevvlor
  • Geregistreerd lid
  • Geregistreerd
Geplaatst 1 week, 3 dagen geleden

TIP: base64_encode(random_bytes(16)) om een token te maken oid.

Clippit should work on the suicidal hot line: "It seems you want to die, would you like a list of ways to die?"

King

De avatar van King
  • Verbannen
  • Verbannen
Geplaatst 1 week, 3 dagen geleden

Thx dat wilde ik net vragen ja

Snel reageren

Flag Content
Processing...

Geef een duidelijke reden waarom een administrator naar deze post moet kijken