Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Datumbereik

CategorieŽn

AND

Onderwerpen

AND

Subforum

Topicstarter

Topicstatus

115 topics - Pagina 1 van 5

[Virusscanners] Discussietopic deel 4

23:57 discussie 1912
Virusscanners discussietopic deel 4IntroductieHet discussie onderwerp over virusscanners is sinds tijden een van de populairdere posts in dit forum. Omdat het vorige deel uit de serie inmiddels de 1400 posts alweer ruim is gepasseerd vonden wij het tijd voor een nieuw fris deel in de reeks.

De vorige delen zijn hier te vinden:
[Virusscanners] discussietopic
[Virusscanners] discussietopic deel 2
[Virusscanners] Discussietopic deel 3


Virusscanners op de marktEen overzicht van een groot aantal virusscanners op de markt.AntiVir ArcaVir Avast AVG Avira BitDefender ClamAV Dr. Web eScan eTrust F-Prot F-Secure Fortinet Kaspersky Kingsoft Antivirus Microsoft Security Essentials McAfee NOD32 Norman Norton Panda Trendmicro Antivirus TrustPort Quick-Heal Sophos VirusBlokAda UNA G-Data Antivirus SophosOnline virusscanners - volledige virusscanOnderstaand een overzicht van online virusscanners waarmee je een volledige scan van een systeem kunt uitvoeren. De meeste van dit soort scanners zijn gebaseerd op active-x componenten. Sommige werken alleen met Internet Explorer waar anderen meerdere browsers ondersteunen.Trend-Micro Housecall Panda Activescan BitDefender Free Online Virus Scan Symantec Security Check Kaspersky Online Scanner F-Secure Online Scan McAfee Free Scan MicroWorld AntiVirus Toolkit Utility eTrust WebscannerOnline virusscanners - single file scanKaspersky virus scan Jotti's online malware scan * VirusTotal * Virscan.org * VirusChief * Filterbit (beta) ** = Deze virusscanners bieden de mogelijkheid om een enkel bestand te scannen met meerdere anti virus engines om zo te komen tot een betrouwbaardere indicatie of een bestand besmet is of niet.Online virus statistieken en waarschuwingen ESET virusradar VirusAlert (NL talig) Waarschuwingsdienst.nl (NL talig)Anti virus removal toolsOmdat sommige anti virus pakketten lastig compleet te verwijderen zijn (bv wanneer je over wilt stappen op een ander product) een lijstje met removal tools van diverse leveranciers. Zorg altijd voor een goede backup van het systeem voor je een van onderstaande tools gebruikt. Gebruik op eigen risico.Avast removal Avira removal AVG removal Bitdefender removal F-secure removal Kaspersky removal McAfee removal Panda removal Symantec (Norton) removal Trend Micro removal Eset (NOD32) removal Malwarebytes Anti Malware (malware remover, meer dan alleen virussen)Vergelijkende sitesEr zijn diverse sites welke periodiek de effectiviteit van virus- en anti- malware scanners testen. Hieronder vind je een aantal van de bekendere test sites. Let op dat testen niet altijd een heel goede weergave geven van de doeltreffendheid van een virusscanner gezien de test methoden erg uit elkaar lopen en niet altijd even goed de realiteit afspiegelen.av-test.org av-comperatives.org virusbtn.comMis je iets in de topicstart?Aanvullingen en tips voor de topicstart kun je altijd per direct message aan mij kenbaar maken. Het is de bedoeling om de topicstart een levend document te houden.

[Password Managers] Discussie- en reviewtopic

24-01 16:42 discussie 219
Password Managers discussietopic IntroductiePassword Managers… Iedereen kent het wel, een kladpapier met wachtwoorden, een stapel post-its, een Excel document, of gewoon hetzelfde wachtwoord overal gebruiken. Password Managers bieden een alternatief door veilig al je wachtwoorden van al je logins op te slaan. Maar zijn ze wel zo veilig? Welke is nou beter? En hoe kun je je huidige Password Manager nog beter maken?
Voor die vragen is dit discussie- en reviewtopic geopend.

Waarom een Password Manager gebruiken?Van het gebruik van een enkel wachtwoord is al jaren bekend dat dat niet handig is om redenen die geen uitleg behoeven. Het onthouden van meerdere wachtwoorden vergt echter veel van je geheugen, zeker nu voor elke website/bestelling/account een login nodig is. Daarnaast is het veranderen van wachtwoorden een crime, iets wat toch nodig blijkt door de vele hacks, leaks en affaires als heartbleed.

VoordelenSlechts ťťn wachtwoord voor alle accounts Extreem moeilijke wachtwoorden kunnen gebruikt worden voor alle accounts (je hoeft ze toch niet te onthouden) Door de encryptie moeilijk te kraken Meeste Password Managers vullen wachtwoorden automatisch in, dus snellen dan copy paste uit het Excel document Meeste Password Managers zijn eenvoudig te synchroniseren, dus op al je apparaten te gebruikenNadelenEigenlijk slechts ťťn, als je het hoofdwachtwoord vergeet… Tsja… Zorg dat dat niet gebeurt! Misschien toch nog een tweede; zorg dat anderen je hoofdwachtwoord nůůit krijgen
Password Managers op de marktEen overzicht van een groot aantal Password Managers op de markt.
(Beschikbare platform staan in cursief onder de URL)1Password Android, iOS, Windows, Mac, Blackberry, Windows Phone DashLane Android, iOS, Windows, Mac Intuitive Password Web Keepass Android, iOS, Windows, Mac, Blackberry, Windows Phone, Symbian, Linux Keeper Password Manager & Digital Vault Android, iOS, Windows, Mac, Web, Windows Phone, Linux, Kindle, Nook LastPass Android, iOS, Windows, Mac, Blackberry, Windows Phone, Symbian, Linux Norton Identity Safe Android, iOS, Windows, Mac Passpack Web PasswordBox Android, iOS, Windows, Mac, Kindle Roboform Android, iOS, Windows, Mac, Blackberry, Windows Phone, Symbian, Palm OS Sticky Password Android, iOS, Windows SplashID Android, iOS, Windows, Mac, Blackberry, Windows Phone, Symbian, Palm OSCloudstorage wel of niet?Van de bovenstaande Password Managers zijn er een aantal die webbased zijn, of de mogelijkheid bieden via de cloud wachtwoorden te synchroniseren. Is dit handig? Zelf heb ik hier een duidelijke mening over; ja handig, maar nee absoluut niet te adviseren. Je geeft al je inloggegevens uit handen aan een derde partij waarvan je niet weet wat ermee gebeurt.
Toch is dat slechts mijn mening, wat vinden jullie?
Syncen via iCloud, Dropbox, Sugansync, etc. is dat dan wel een optie? Ik heb genoeg vertrouwen in de encryptie dat ik mijn database op dropbox heb staan. Toch ben ik nieuwsgierig naar de mening van de mede-tweakers.

FunctionaliteitErvaring over gebruiksgemak, functies, tips & trucs per Manager worden hier toegevoegd.
Two-factor, YubiKey, etc. Er zijn Managers die er gebruik van maken, ook deze ervaringen worden hier toegevoegd.


Mis je iets in de topicstart?Aanvullingen en tips voor de topicstart kun je altijd per direct message aan mij kenbaar maken. Het is de bedoeling om de topicstart een levend document te houden.


Poll: Welke Password Manager gebuiken jullie?
• 1Password
• DashLane
• Intuitive Password
• Keepass
• Keeper Password
• Lastpass
• Norton Identity Safe
• Passpack
• Passwordbox
• Roboform
• Sticky Password
• SplashID
• Eentje die niet op deze lijst staat
• Nog geen op dit moment

Ook een poll maken? Klik hier

Security challenges

03-01 01:10 discussie 131
Hoi medetweakers,


Dit topic is bedoeld als discussietopic voor security-challenges. Doel is erover discussieren, danwel het uitwisselen van nieuwe challenges.
Let hierbij aub wel op dat bij sommige challenges de inhoud niet besproken mag worden. Doe dit dan ook aub niet!

Ook challenges waarbij de oplossingen nog niet online staan uitwisselen kan niet de bedoeling zijn. Houd dan ook rekening met zowel de letter als de geest van de puzzle.
Voel je dan ook vrij je visie te geven op challenges, of nieuwe challenges aan te brengen.

Doel van challenges is je geest te slijpen op programmeer/security/crypto-gebied. Sommige challenges zijn diehard reverse-engineering, andere zijn bouwen vooral op je gezonde verstand. Voorbeeld hiervan is de jaarlijkse NBV puzzel.



Welke challenges zijn er allemaal?Algemene challenges: De NBV kerstpuzzels • De jaarlijkse NBV kerstpuzzel, editie 2013: https://www.aivd.nl/organ...037/nbv-kerstpuzzel-2013/
• De jaarlijkse NBV kerstpuzzel, editie 2012: https://www.aivd.nl/organ...uws/nbv-kerstpuzzel-2012/


Er zijn ook oudere edities her en der online te vinden.
Deze puzzle is een combinatie van logica, gezond verstand en basiswiskunde. Desalniettemin vrij pittig.
Voorkennis is niet vereist, mensen lossen hem soms op papier of met Excel op. Ik zelf doe de meeste dingen in Ruby en op papier.THTC's Cyber challengeDe 2014 versie:
plan: Politie en Tweakers ontwikkelen nieuwe Cybercrime Challenge


Ook team high tech crime van de politie had een leuke challenge vorig jaar (De cyberchallenge die zich deels hier op t.net afspeelde) maar die is na hun campagne helaas weer uit de lucht gehaald. Een overview is hier te vinden:
Boudewijns blogje: THTC Cyberchallenge: de oplossing Hopelijk komt er nog een keer zo'n gaaf opgezette professionele challenge.

NIeuws: Op 16 april 2014 komt er een nieuwe: http://tweakers.net/advertorials/hightechcrime Hacking/exploiting challenges:• http://blackbox.smashthestack.org:85/
• http://smashthestack.org/wargames/blowfish

Er zijn er nog meer hier te vinden: http://smashthestack.org/

Smash the stack is een verzameling challenges waar je met SSH op in kunt loggen waarbij je een UNIX systeem zover moet krijgen een password op te geven.
Dit kun je doen door een buffer-overflow te creeeren, een binary te reversen of setuid-bits te misbruiken. Best pittig, maar er zit wel een mooie leercurve in.
Het is wel van belang dat je voor deze challenges wat programmeer en UNIX ervaring hebt.
De Matasano embedded security CTFZelfde principe als smashthestack, maar nu door een commercieel bedrijf:quote:Given a debugger and a device, find an input that unlocks it. Solve the level with that input.

You've been given access to a device that controls a lock. Your job: defeat the lock by exploiting bugs in the device's code.

You're playing "Capture The Flag". You collect points for each level you beat, working your way through steadily more complicated vulnerabilities. Most levels showcase a single kind of real-world software flaw; some levels chain a series of them together.Lekker reversen en overflowen dus . Ik denk dat reverse-engineering en assembly wel nodig zijn voor deze. Er zit een tutorial bij, maar die is vooral voor de omgeving. Het is een soort web-based IDA-achtige debugger.De gevonden USB stick challenge hier op tweakersHij is commercieel, maar geen idee hoe en wat.
Het gaat er vermoedelijk om dat je wat forensics op een stickie doet.
[ADV] USB stick gevonden, hulp nodig! De certified secure challengesAangedragen door LuckY:
Veel web maar ook wat server security, firewalls, forensics en coding:
https://www.certifiedsecure.com/frontpage Crypto Ook hier heeft matasano een aardige challenge, waarbij de vragen zelfs niet gedeeld mogen worden.
De challenges bestaan 8 sets vragen die je per mail op kunt vragen en per mail in moet leveren. Hierbij ga je standaard crypto-flaws uitbuiten. Er wat basiswiskunde en programmeervaardigheid voor nodig aldus een van mijn collegae die ermee bezig is.
http://www.matasano.com/articles/crypto-challenges/
Ik heb ze liggen en ze zien er best doable uit voor iemand die geen crypto-koning is.ForensicsLeuke intro met een server compromise -> http://blog.handlerdiaries.com/?p=63
http://digital-forensics.sans.org/community/challenges
http://digital-forensics....-memory-challenge-dfircon
http://www.wyattroersma.com/?p=64

Ga hier dus niet om vragen bedelen of spoileren aub.


Mocht je nou nog een toffe challenge weten die echt in de lijst moet, geef aub een gil.

IT Security Certificeringen

26-10-2015 discussie 328
CertificeringInleiding
De laatste jaren is security steeds zichtbaarder geworden in de IT wereld. Recent zijn er na master information security opleidingen ook bachelor trajecten opgericht. Niet iedereen heeft de tijd of middelen om zo'n opleiding te volgen. Of misschien wil men zich in een bepaalde richting specialiseren. Hiervoor zijn gelukkig veel certificerings trajecten te vinden.

In dit topic zou ik graag informatie, ervaringen, tips, etc uitwisselen over in de topicstart genoemde certificeringen. Op verzoek kan deze aangevuld worden met andere certificeringen. In heb geprobeerd om ze te groeperen en er alleen certificeringen in op te nemen welke in Nederland afgelegd kunnen worden.

Examens kunnen via VUE/Prometric gereserveerd worden. Sommige certificeringen zoals bijvoorbeeld CEH en CISSP hebben nog wel zaken van de werkgever nodig omtrent werkervaring.

In dit topic graag geen discussie over het nut / waarde van certificeringen. Een combinatie van werkervaring en certificering is het meest wenselijk. Mochten er boeken of software besproken worden dan is dat geen probleem. Het grijze gebied zoals pass4sure en aanverwanten dienen NIET besproken te worden.


IT Security (breed)Inleiding
Trajecten onder deze kop behandelen veel verschillende gebieden van de informatiebeveiliging.

NaamOpleiderISF: Information Security FoundationExinNISA: Network and Internet Security AdvancedExinSecurity+ComptiaNSA: Network Security AdministratorECCouncilSSCP: Systems Security Certified PractitionerISC2CISSP: Certified Information Systems Security ProfessionalISC2


Pentesting/Ehtical HackingInleiding
Trajecten onder deze kop behandelen offensive security, het zogenaamde penetration testing en ethical hacking.

NaamOpleiderCEH: Certified Ethical HackerECCouncilCSA: Certified Security AnalystECCouncilLPI: Licensed Penetration TesterECCouncilCPTS: Certified Pentesting SpecialistMile2CPTE: Certified Pentesting ExpertMile2eLearnSecurity Certified Professional Penetration TestereLearn SecurityOffensive Security Wireless ProfessionalOffensive SecurityOffensive Security Certified ProfessionalOffensive SecurityOffensive Security Certified ExpertOffensive Security


Computer ForensicsInleiding
Trajecten onder deze kop behandelen computer forensics. Zie voor meer informatie ook: IT Forensics

NaamOpleiderCHFI: Computer Hacking Forensic InvestigatorECCouncilCCE: Certified Computer ExaminarISFCE


Risk assessment / Compliance / ManagementInleiding
Trajecten onder deze kop behandelen uiteenlopende zaken welke allen voornamelijk een meer strategisch en tactisch niveau spelen dan uitvoerend.
NaamOpleiderCISM: Certified Information Security ManagerISACACISA: Certified Information Systems AuditorISACAISMA: Information Security Management AdvancedExinISME: Information Security Management ExpertExin

En dan..Verder heb je nog mogelijkheden om jezelf te certificeren op andere gebieden.

Mocht je interesse hebben om jezelf te certificeren op het gebied van Linux, Unix, etc dan is Het grote NOS certificeringtopic topic wellicht een goeie plek om informatie in te winnen.

Voor zaken op Cisco gebied kun je kijken bij [Cisco]Certificaten, ervaringen & discussies

Wil je liever meer met Microsoft doen ga dan naar [Microsoft Certified] Ervaringen en discussies - Deel 9



SlotIk hoop dat dit topic kan helpen bij het informeren en behalen van certificaten. Mochten er zaken missen of verkeerd staan in de topicstart dan hoor ik dat graag via een DM.


Edit 1 nov 2008: verwijzing in de startpost naar het forensics topic aangemaakt.
Edit 21 maart 2009: CCE toegevoegd.
Edit: 29 december 2009: overige certificerings trajecten toegevoegd
Edit: 20 jan 2010: EC-Council links fixed (iisschots bedankt voor het melden!)

[SEC] IT Security boeken, artikels, etc

08-08-2015 discussie 27
BoekenInleiding
Er zijn veel, heel veel boeken geschreven over allerlei aspecten van de IT security. In dit topic kunnen ze besproken worden en kunnen we wellicht nieuwe ideeŽn opdoen.

Boeken met betrekking tot certificering graag bespreken in IT Security Certificeringen


TS trapt af


The Database Hacker's Handbook.
ISBN-10: 0764578014
Behandeld Oracle, DB2, Informix, Sybase, MySQL, SQL en PostgresSQL. Uiteraard kan men niet op alle databases diep ingaan maar het geeft een goede basis voor het pentesten van databases. Het gaat op SQL injection in maar ook bevoorbeeld buffer overflows en andere manieren om een database aan te vallen. Doordat er veel code verspreid in het boek zit leest het niet altijd even prettig. Dit hadden ze beter op cd kunnen zetten. Dan hadden ze meer ruimte over om op sommige zaken dieper in te gaan.



The Webapplication Hacker's Handbook.
ISBN-10: 0470170778
Gaat uitgebreid in op de diverse zwakheden in webservers en webapplicaties. Ben er nog in bezig dus kan er nog niet heel veel over vertellen, wel erg enthousiast tot nu toe. Duidelijke geschreven en diverse screenshots ter verduidelijking.



Syngress Google Hacking for Penetration Testers
ISBN-10: 1597491764
Gebaseerd op de bevindingen van Johnny Long (ihackstuff). Handig om ter referentie te hebben bij footprinting. Ben er nog niet helemaal uit of het zijn geld waard is. Een groot deel kun je toch ook online terug vinden.



Syngress Stealing The Network serie:
How to own the box, How to own a continent, How to own an identity, How to own a shadow
Fictie. Beschrijft verschillende aanvallen aan de hand van veel gebruikte hacking tools. Erg leuk om te lezen en een stuk realistischer dan films zoals Hackers & Swordfish.

Virus op cd-rom

17-05-2015 discussie 27
Goedemiddag,

Ik kon niet echt een goede plek voor dit topic vinden, dus plaats ik het maar hier. Ik heb onlangs via Youtube een giveaway gewonnen waarbij ik GTA V op CD-rom krijg. Nu wil ik wel zeker weten dat er geen troep op staat enzo, dus heb ik een aantal vragen daarover:

- Kan een virus op CD's staan?
- Zo ja, kan je deze eraf halen en hoe?

Ik heb Panda Antivirus 2015 Pro ... mocht dat nodig zijn?

Mvg,

colko111

Hoe word je een hacker.

16-05-2015 discussie 53
Beste tweakers

ik houd me veel bezig met het nieuws rondom hackers maar sinds een tijdje heb ik veel interesse om zelf te gaan hacken in de vorm van exsploids zoeken, kijken wat je ermee kan (eventueel met wat code) en aan de fabrikant melden hoe je het gedaan hebt. Het probleem is dat ik ook na een hoop recearch niet kan achterhalen waar te beginnen.

Voordat er zaken opgenoemd worden die voor mij niet mogelijk zijn wil ik alvast vertellen dat ik 16 jaar (en leerplichtig) ben, maar ik hoop dat dat geen al te groot probleem is

Pentest distro's

14-05-2015 discussie 11
Hi all,

Van Offensive Security kennen we natuurlijk Kali Linux (als opvolger van Backtrack). Daarnaast zijn er andere distro's zoals Backbox. Ik gebruik momenteel zowel Kali als Backbox in een VM.
Waar ik benieuwd naar ben is of jullie ervaring hebben met andere distro's dan Kali (specifiek voor het uitvoeren van pentests) en zo ja, wat jullie daar van vinden.

Veiligheid Paypal en andere online betaalmiddelen

24-04-2014 discussie 183
Een groot deel van de reacties in dit topic, waaronder de startpost, zijn afkomstig uit Paypal account gekraakt, wat nu?. Naar aanleiding van de situatie die daar besproken werd ontstond een discussie over de veiligheid van Paypal en andere online betaalmiddelen.

Even later werd een apart topic over diezelfde veiligheidsdiscussie geopend. De originele topicstart daarvan was: ruyckske in "Veiligheid Paypal en andere online betaa...". Dit topic is de combinatie van dat topic en de afgesplitste berichten uit Paypal account gekraakt, wat nu? en biedt ruimte aan een discussie over de veiligheid van verschillende online betaalmogelijkheden.quote:Fluffyaddict schreef op vrijdag 31 juli 2009 @ 12:43:
[...]


Wat betreft het beveilingsvraagstuk: Mijn GMAIL account is gekoppeld aan mijn Paypal account. Doordat mijn gmail account is gehackt heeft men zich toegang kunnen verschaffen tot mijn paypal account.

Door alle mailtjes van paypal via een filter door te sturen naar een spoof-mail adres kon ik niet zien dat mijn paypal account gebruikt is.

Ik probeer er nu achter te komen waar/hoe en wanneer mijn gmail account is gehackt en vanaf welk ip adres mijn paypal account is benaderd.

Ik vermoed dat iemand in het buitenland zich toegang heeft verschaft tot mijn paypal account, maar ja zeker weten doe ik dat niet....

Een uur geleden heb ik nogmaals gebeld met paypal, ik kreeg iemand anders aan de telefoon. Zij probeerde mijn afgewezen claim weer opnieuw te openen, maar dat kon niet. Ze heeft nu een ticket aangemaakt met het verzoek om 'more information about the rejection'... we zullen zien of dat wat oplevert. (ik denk het niet, in NL hebben ze weinig tot geen mogelijkheden)

Vanmiddag ga ik naar de politie om aangifte te doen, als het goed is kan de politie meer informatie opvragen bij paypal dan ik dat kan...

(bedankt voor de reacties)

<offtopic>. denk ook dat het verstandig is om GMAIL niet te gebruiken als het gaat om betalingen, maar om gewoon het email adres van je isp te gebruiken... </offtopic>Wat ik niet snap is, ook al hacken ze je Gmail account hebben ze toch nog geen toegang tot je Paypal account? Of volstaat het om op de link die Paypal stuurt te klikken zonder dat je moet inloggen op Paypal?
Of heb je hetzelfde paswoord gebruikt voor Gmail als voor paypal?

Edit: denk er zelf juist aan, hij heeft dus waarschijnlijk op 'Paswoord vergeten' geklikt.
In dat geval zou Paypal beter beveiligd kunnen worden door dit via reguliere post te doen of via een SMS ofzo ipv email. Het gaat immers om echt geld dus enige vorm van fysieke confirmatie is toch wel nodig denk ik zo.

Ssh brute-force attacks.

06-03-2014 discussie 30
Heb sinds een paar dagen een vps draaien met Centos 6.4/DirectAdmin/. Ik had m geinstalleerd ter vervanging van meerdere shared hosting paketten die ik meer dan zat was=D.

Eigenlijk vrijwel direct na het installeren van de server viel het me op dat er eigenlijk constant ssh brute force attempts worden uitgevoerd, allemaal onsuccesvol gelukkig. Het is verder niet een hele hoop, ik schat zo'n 100 attempts per dag. Ik heb echter ooit eerder thuis een server gedraait. Ik kan mij niet herineren dat ik uberhaubt ooit ben lastig gevallen door deze aanvallen.

Mijn vraag daarom. Is het normaal heden dag dat je de hele dag aangevallen wordt door dit soort addergebroed? Of heb ik een serieus probleem, en moet ik hier zo snel mogelijk iets aan doen?

Ik heb al wel fail2ban geinstalleerd, dit zodat het ip in kwestie na een 50 tal attempts wordt gebanned. Ze lijken echter net zo gemakkelijk aan een nieuw ip adres te komen:p

Alvast bedankt!

Rabobank Pincode lek?

15-11-2013 discussie 207
Dag allen!

Onlangs had ik iets meegemaakt (bij toeval) dat een eerder vermoeden bevestigde.

Rabobank internet bankieren werkt met een RandomReader die een speciale code genereerd na het intypen van de juiste pincode.

Nu bedacht ik mij het volgende: Als je pas word gestolen is deze onbruikbaar bij een winkel of pinautomaat doordat de code maar 3x mag worden ingevoerd. Na 3x fout blokkeerd het systeem (niet de pas, want die had je immers al doorgehaald, en sowieso, schrijven op een pas is niet slim want dat kun je dan ook weer ongedaan maken).

Op een slechte dag wist ik dus m'n pincode niet meer na 2 jaar. Thuisgekomen dacht ik.. oooh! En wilde kijken of die klopte. Ik stop m'n pas in m'n random reader, typ de juiste code, en jawel, geaccepteerd. Pas laten deblokkeren en voila.

Het probleem is dus dat de randomreader onafhankelijk de pincode kan controleren. Hij zal je pas als het goed is wel blokkeren (op de chip) na 3 pogingen, maar dit is makkelijk te omzeilen: Net zoals je een magneetstrip kunt "skimmen" (zoals ze tegenwoordig doen bij pinautomaten) kun je vast zonder veel moeite een kopie maken van de chipknip-chip. Je hoeft immers de data niet te kunnen gebruiken, een simpele kopie volstaan. Dan creer je 10000 / 3 keer een pasje, en weet je zeker dat je de code hebt achterhaald na 10000 pogingen.

Het lijkt me dan slechts afwachten totdat de Random-Reader ofwel in digitale PC-software versie verschijnt, of dat er voor mijn part een apparaat word gemaakt dat steeds opnieuw een kopie-pas in zo'n random reader schuift en een code probeert (mechanisch).

Wat vinden jullie hiervan? Heb ik iets totaal over het hoofd gezien, of is dit lek eigenlijk best "ernstig"? Een pincode per SMS lijkt me dan veiliger. Het zwakke punt is dat het systeem totaal onafhankelijk van een computer werkt, die kunnen we altijd wel foppen.

[Sec] discussie/wenselijkheid e-mail beveiliging

13-10-2013 discussie 78
Ik vroeg me af of mensen op GoT gebruik maken van authentificatie/encryptie van mail. Af en toe zie je eens een sig waarin bijvoorbeeld een pgp-sleutel wordt vermeld. (b.v. van Osiris) En ik heb ook pgp en s/mime sleutels, maar vrijwel niemand doet er wat mee (en de meeste webmailsystemen kunnen er toch geen raad mee, mensen ontvangen dan gewoon een voor hen onbegrijpelijk attachment).

Los van het scheppen van de mogelijkheid vertrouwelijke berichten uit te wisselen is er natuurlijk juist ook de mogelijkheid spam uit te bannen en de afzender te bevestigen. Eventueel kan DKIM daar ook aan bijdragen (yahoo implementeert dat bijvoorbeeld afaik).

Ik hoop hier wat discussie te krijgen over het nut en de nadelen van dit soort middelen en wellicht hebben mensen ideeen hoe het gebruik kan worden bevorderd of juist teruggedrongen. Zou je juist voor bepaalde zaken (bijvoorbeeld mail met arts/apotheker/overheid/bedrijf/privť) gebruik (willen) maken van technische beveiligingsmogelijkheden? Ik zou zelf bijvoorbeeld alleen met patiŽnten of artsen willen communiceren (over 'gevoelige' informatie) als een mij pgp of s/mime authentificatie en versleuteling mogelijk is (dat maakt het dan in ieder geval een stuk beter dan faxen). Ook is het voor spamfiltering eventueel heel fijn als je de filter kunt laten controleren op domein of in een wat verdergevorderd stadium vertrouwde authentificatiesleutels als voorwaarde om de inbox in te geraken.

Alleen is hier totaal geen 'markt' voor is mijn ervaring, een enkeling die ik ken heeft zich ooit met encryptie/authentificatie van e-mail bezig gehouden en daar weer een klein deel van heeft s/mime of pgp (en daar weer een klein deel van gebruikt het).

In een eerder topic had ik wat polls verwerkt (met een erg kleine steekproef vanwege de topicsluiting), hieruit kwam naar voren dat DKIM nauwelijks bekend is pgp redelijk goed en s/mime best aardig en dat s/mime ook wel eens wordt gebruikt. Zelf gebruik ik het wel eens ter authentificatie, ik krijg zeer zelden versleutelde berichten terug.

Thema topic: privacy bevorderende tools

16-06-2013 discussie 63
Thema topic: privacy bevorderende maatregelen en toolingIntroductieWelkom in weer een nieuw thema topic.

Een tijdje terug zijn we gestart met een aantal nieuwe items in het Beveiliging & Virussen forum.
Een van de nieuwe items zijn de thema topics waarin ruimte is voor discussie over een bepaald wisselend onderwerp.

Deze keer hebben we gekozen voor een thema rond privacy bevorderende maatregelen en tooling. Een van de redenen om dit topic te kiezen is dat er regelmatig posts over speciale tooling op de front page is te lezen. We willen het thema zo breed mogelijk houden (maar wel on-topic) en hopen op leuke reacties.


Thema: privacy bevorderende maatregelen en toolingPrivacy is voor veel mensen een groot goed en is regelmatig onderwerp van discussie daar volgens veel mensen de online privacy steeds verder af lijkt te nemen door nieuwe business modellen, wet- en regelgeving en applicaties.

Als we de reacties op de front page lezen valt op dat er een groot aantal Tweakers lijken te zijn die aanvullende software gebruikt om zijn of haar privacy te beschermen. Te denken valt aan speciale browser plugins, het TOR netwerk maar ook aan het gebruik van bijvoorbeeld afwijkende zoekmachines of internet proxy's waarvan men claimt en hogere mate van anonimiteit te kunnen waarborgen.

Voldoende stof voor discussie lijkt ons.

Mogelijke onderwerpen voor discussieEen interessante reactie in dit topic zou kunnen bestaan uit het vertellen of jij als internetter gebruik maakt van maatregelen en tools waarvan jij denkt dat ze jouw privacy verhogen. Wat gebruik je precies en waarom? Nog interessanter zijn nieuwe inzichten en eigen ervaringen. Alles wat een relatie heeft met dit onderwerp mag worden ingebracht. Het is de bedoeling van elkaars ervaringen en inzichten te leren.

Suggesties voor komende thema topics. Heb je een suggestie voor een volgend thema topic? Dan willen wij van jou horen!
Je kunt jouw suggestie achterlaten in het volgende topic: aankondiging: thema topics .

Natuurlijk kun je ook altijd een direct message te sturen naar een van de auteurs van dit thema topic.
Een direct message kun je versturen door te klikken op het icoon bij de naam van een van de auteurs van dit thema topic.

Security-cursussen voor "beginner"

21-01-2013 discussie 6
Beste lezers van tweakers.net,

Ik ben nu ongeveer 10 jaar systeembeheerder maar ook bij ons zijn er veranderingen en moet je je steeds meer specialiseren. De laatste tijd hou ik me steeds meer bezig met de security maar zou me er nog meer in willen verdiepen.
Natuurlijk heb ik eerst op het internet rondgekeken en zie opleidingen (bijvoorbeeld: CISSP) staan waar je een enorme ervaring moet hebben. Ik zou het liefst met een soort "beginners"-securitybeheer training willen starten en vanuit daar kijken of het echt iets voor me is en dan de keuze maken voor een wat zwaardere training.

Weet iemand een cursus/opleiding voor een "beginner" in de security ;-) ??

Zou dit bijvoorbeeld een goede start zijn?
http://www.securityacadem...l-hacking-the-basics.html
http://www.computrain.nl/...istrator-312-38-ENSA.html

dank!

Microsoft Security Essentials

17-01-2013 discussie 92
De Microsoft Security Essentials Beta is zojuist beschikbaar gekomen.
Hoewel de beta alleen voor United States, Israel (English only), People's Republic of China (Simplified Chinese only) and Brazil (Brazilian Portuguese only) beschikbaar zou zijn kon ik me gewoon aanmelden voor de beta.

Zojuist geÔnstalleerd, hij is nu aan het scannen, eerste indruk is eenvoudig, niet veel opties maar ikzelf zoek ook een eenvoudige scanner dus dat is mooi. Excluden van files, filetype's en directory's is in elk geval mogelijk.

Eerste indruk is in elk geval positief.

Linkje:
http://www.microsoft.com/security_essentials/

[FreeNAS 7] SFTP met Ban Module mogelijk?

04-10-2012 discussie 0
Ik heb een SFTP server die FreeNAS 7 draait.
Bij FTP is het mogelijk om in het FTP configuratiescherm de Ban Module te gebruiken en hierdoor een trigger te configureren zodanig dat een gebruiker na een specifiek aantal verkeerde inlogpogingen gebanned wordt.

SFTP (FTP over SSH) heeft deze configuratie mogelijkheden niet op het SSH scherm staan.

Mijn vraag:
Is het mogelijk om de BAN Module te gebruiken als gebruik wordt gemaakt van SFTP ipv FTP?
Of is het op een andere wijze mogelijk om na een specifiek aantal foutieve logins van een gebruiker, deze gebruiker te bannen?

Ik heb reeds gezocht met google en op forums gelezen, maar ik kan hier weinig over vinden, te meer ik een oudere versie van FreeNAS gebruik.

mixen van de salt in wachtwoord aan de hand van wachtwoord

18-09-2012 discussie 11
Vandaag heb ik eens nagedacht over het feit dat men bij hashen van het wachtwoord in combinatie met een, al dan niet random, salt deze voor of achter het gehashte wachtwoord plaatsen in de database. Op die manier zou in theorie de salt gevonden kunnen worden en zodoende toch het wachtwoord gevonden kunnen worden. Dit in het achterhoofd hebbende kwam ik tot het volgende idee: We gaan het wachtwoord hashen op de conventionele manier met een random salt. Vervolgens ga ik aan de hand van de numerieke ascii karakters en de som van eventuele numerieke karakters van het wachtwoord aan de slag om steeds een stukje van de salt in te voegen in het gehashte wachtwoord. In theorie zou je dan alleen de salt terug kunnen vinden aan de hand van het wachtwoord, heb je geen wachtwoord, dan is het gehashte wachtwoord dus in theorie eigenlijk onbruikbaar.

Ik heb ook al een prototype gebouwd. hash_password zal het wachtwoord hashen en mixen met de salt, compare_password gaat met het gegeven wachtwoord het proces omkeren en de salt er uitfilteren. Ik heb het getest, en de code werkt.
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
<?php
function hash_password($password, $hash = null) {
    $salt = (is_null($hash)) ? sha1(md5(time().rand(0, 9999) + strlen($password))) : $hash;
    for ($i = 0; $i < 10000; $i++) $saltedPassword = sha1($password . $salt);
    $sumord = strlen($password);
    $sumnr = 1;
    while (true) {
        if (strlen($salt) <= 0) break;
        for ($i = 0; $i < strlen($password); $i++) {
            if (strlen($salt) <= 0) break;
            $ord = ord($password[$i]);
            $sumord += $ord;
            if (ctype_digit($password[$i])) $sumnr += $password[$i];
            $key = $sumnr * $sumord;
            $position = $key % 40;
            $group = ($sumord % 2) ? 3 : 2;
            if (strlen($salt) < $group) $group = strlen($salt);
            if ($key % 2) {
                $saltedPassword = substr($saltedPassword, 0, $position) . substr($salt, 0, $group) . substr($saltedPassword, $position);
                $salt = substr($salt, $group, strlen($salt));
            } else {
                $saltedPassword1 = substr($saltedPassword, 0, strlen($saltedPassword) - $position);
                $saltedPassword = $saltedPassword1 . substr($salt, strlen($salt) - $group, strlen($salt)) . substr($saltedPassword, strlen($saltedPassword1));
                $salt = substr($salt, 0, strlen($salt) - $group);
            }
        }
    }
    return $saltedPassword;
}

function compare_password($password, $saltedPassword) {
    $sumord = strlen($password);
    $sumnr = 1;
    $decoders = array();
    $salt = sha1("dummyhash");
    while (true) {
        if (strlen($salt) <= 0) break;
        for ($i = 0; $i < strlen($password); $i++) {
            if (strlen($salt) <= 0) break;
            $ord = ord($password[$i]);
            $sumord += $ord;
            if (ctype_digit($password[$i])) $sumnr += $password[$i];
            $key = $sumnr * $sumord;
            $position = $key % 40;
            $group = ($sumord % 2) ? 3 : 2;
            if (strlen($salt) < $group) $group = strlen($salt);
            $decoders[] = array("ord" => $ord, "sumord" => $sumord, "sumnr" => $sumnr, "group" => $group, "key" => $key);            
            $salt = substr($salt, $group, strlen($salt));    
        }
    }
    $decoders = array_reverse($decoders);
    $salt = "";
    $unsaltedPassword = $saltedPassword;
    foreach ($decoders as $decoder) {
        if (strlen($salt) >= 40) break;
        $position = $decoder['key'] % 40;
        if ($decoder['key'] % 2) {
            $salt = substr($unsaltedPassword, $position, $decoder['group']) . $salt;
            $unsaltedPassword = substr($unsaltedPassword, 0, $position) . substr($unsaltedPassword, $position + $decoder['group']);
        } else {
            $salt .= substr($unsaltedPassword, strlen($unsaltedPassword) - ($position + $decoder['group']), $decoder['group']);
            $unsaltedPassword = substr($unsaltedPassword, 0, strlen($unsaltedPassword) - ($position + $decoder['group'])) . substr($unsaltedPassword, (strlen($unsaltedPassword) - $position));
        }
    }
    return $saltedPassword == hash_password($password, $salt);
}
?>
Mijn vraag aan jullie is: Heb ik nu iets gemaakt dat niet gaat werken of heb ik dubbel werk geleverd?

Defense in Depth of Jericho concept (deperimeterisation)

03-09-2012 discussie 4
Op moment ben ik bezig met mijn afstudeer project, hierbij zit ik sterk te denken aan het focussen op het toepassen van Defense in Depth. Echter werd ik laatst op de hoogte gesteld van het Jericho Concept.

Nu ben ik even aan het rond kijken en lezen geweest en heb ook hier een oude topic gevonden betreffende Jericho.

Zijn er inmiddels mensen met ervaring bij het toepassen en gebruiken van het Jericho concept?
Zo ja in welke omgeving(en) is het toegepast?
Is er inmiddels een bij iemand een "best practice" hiervan bekend?

Omvormer IP-adres werkt maar niet zichtbaar in router

22-06-2012 discussie 9
Hallo allemaal,

Onze Solutronic SP 35 omvormer is aangesloten op ons huisnetwerk. Het ip adres waarmee dat gebeurt kan op het apparaat ingesteld worden. Ik heb dat gedaan met een ip adres dat nog niet gebruikt werd. Daarvoor in de lijst ip-adressen van onze Fritzbox router gekeken.

Ik kan nu de in de omvormer geintegreerde webserver gebruiken voor het monitoren van actuele data of de logfiles. Ook de bijgeleverde windows-software van Solutronic om data uit te lezen werkt met de ip adressen. Het ip adres bestaat dus binnen het netwerk!

Ik kan het echter niet vinden in de lijst met ip adressen die de router toont.

Iemand een idee? Ik wil het ip adres gebruiken om port forwarding mogelijk te maken zodat ik de data ook via internet er af kan halen.

Groeten, H

Automatische security updates van Ubuntu werken niet?

11-06-2012 discussie 2
Hallo,

Ik ben wat aan het rommelen met een Ubuntu server-installatie (versie 12.04) in Virtualbox, simpelweg om te leren over serverbeheer. Ik heb een server-installatie nu een week draaien (24 uur per dag) en het loopt allemaal perfect.

Nou heb ik de boel net herstart, en wanneer ik weer inlog zie ik een bericht wat zegt:quote:37 packages can be updated.
15 updates are security updates.Toen ik de server installeerde, heb ik echter "Install security updates automatically" geselecteerd. Hoe kan het dan dat er nog steeds 15 security updates zijn die niet geÔnstalleerd zijn?

Alle tips zijn welkom!

Beveiliging van database en applicatie

28-03-2012 discussie 10
Hoi,

Ik ben een nieuwe applicatie aan het bouwen waarin zeer veel privacy-gevoelige gegevens worden opgeslagen. Ik wil daarom zo goed als al het mogelijke doen om mijn data te beveiligen.

Ik heb de volgende constructie bedacht:
- Alle gevoelige data in de tabellen wordt m.b.v. de MySQL functie AES_ENCRYPT encrypted met een key die ik in mijn PHP- applicatie gedefineerd heb staan, zodat als de toegang tot de database gekraakt wordt er niets van data uit kan worden gelezen;
- Ik maak een MySQL user die enkel en alleen stored procedures mag uitvoeren;
- In mijn PHP code roep ik de stored procedures aan met daarbij de encryption key. Als de key klopt dan retouneren de stored procedures de decrypte data en belanden deze op het scherm van de gebruiker;

Ik maak gebruik van 2-factor login(gebruikersnaam, nummer en wachtwoord en vervolgens een SMS met unieke 6-cijferige code die eenmalig gebruikt kan worden) en beschik over een EV SSL certificaat.

Nu ben ik benieuwd wat jullie - gelet op al het bovenstaande - vinden van mijn applicatieontwerp.

Shark007 codecs en security

23-01-2012 discussie 3
Ter informatie,
aan wie geÔnteresseerd is,

Onlangs heb ik op het Shark007 forum een thread gestart "Mentioning security updates in changelogs",
zie: http://shark007.net/forum...ity-updates-in-changelogs
en vervolgens op Security.nl de thread "Shark007 codecs en security",
zie: http://www.security.nl/ar...7_codecs_en_security.html

Essentie:
- Hoe zit het met de security van codec packs, met name met die van de Shark007 codec packs?
- Zit het wel snor met Shark007 codec packs en security, hebben die simpelweg zelden of nooit security updates nodig, of ligt dat mogelijk anders?
- Ik zeg niet dat er iets mis is met de Shark007 software, maar ik denk dat de gebruikers meer informatie nodig hebben over de vraag of de beveiligingsupdates die zijn geÔmplementeerd in de bron-software ook geÔntegreerd zijn in de Shark007 codec packs en of bepaalde Shark007 updates wellicht moeten worden beschouwd als beveiligingsupdates.

Shark007 bagatelliseert de materie, en stelt, "I cannot think of a single security update that was ever released for a codec".
Mijn voorbeelden die anders laten zien, waaronder de zeer frequente security updates voor FFmpeg, waarvan Shark007 code gebruikt, die worden genegeerd door Shark007.
En na korte tijd heeft Shark007 gemeend dat hij de thread op zijn forum moest sluiten, omdat hij, zoals hij dat zelf aangeeft, "do not wish to entertain your insecurities any further". Welja zeg.

Door hoe Shark007 op zijn forum omgaat met legitieme vragen (niet alleen de mijne maar ook andere), heb ik inmiddels erg weinig vertrouwen meer in zijn persoon en daardoor tevens in zijn software. Beslist jammer, want buiten de onduidelijkheid betreffende security zijn het beslist prettige codec packs.
(Ik gebruik nu overigens inmiddels GOM Player, net als onder meer VLC media player heeft dat geen extern codec pack nodig om bijna alles te kunnen afspelen.)

Wie geÔnteresseerd is in de materie, lees de twee bovengenoemde threads, op het Shark007 forum, en op Security.nl.
En wie denkt dat ie in die thread op Security.nl nog een aanvullende en opbouwende bijdrage kan geven, wees welkom.
(Posten kan daar eventueel zonder account, oningelogd, als 'Anoniem', de posts worden dan eerst beoordeeld, en dus gepost met vertraging, ťn posten kan na het aanmaken van een account op Security.nl, ingelogd, zonder vertraging door beoordeling.)

Is dit kwetsbaar voor SQL injection?

07-01-2012 discussie 16
Naar aanleiding van het frontpage artikel over de blunder van Kluwer Software, een vraagje (ik had hem bij dat artikel ook al gepost maar wellicht is het hier beter op z'n plaats).

Iemand stelde dat je geen SQL queries binnen code zou moeten construeren, of uberhaupt geen SQL queries in je code zou moeten hebben staan.

Nu vraag ik me af, wat is het probleem met dit:
code:
1 2 3 4 5 $name = mysql_real_escape_string($_POST['naam']); $salt = 'qG(KXen*637Of2b#vR-p9'; $pasw = hash('sha512',$_POST['wachtwoord'].$salt); $query = "SELECT * FROM gebruikers WHERE name='$name' AND pasw='$pasw' LIMIT 1"; mysql_query($query);
(even kort door de bocht, ik weet dat mysql_real_escape_string niet in alle gevallen zaligmakend is, hoewel hier volgens mij wel)

GPS voor alle diefstalgevoelige apparaten

25-12-2011 discussie 5
Omdat ik eerder dit weekend bijna slachtoffer werd van inbrekers vroeg ik me af wanneer het mogelijk gaat worden om makkelijk gestolen goederen op te sporen.

Er is veel mogelijk tegenwoordig met track & trace van auto's en boten e.d. is dit mogelijk iets wat nog niet volledig doorgevoerd is in de maatschappij. Helaas is het track & trace systeem wel wat prijzig en vlg. mij geen optie voor zaken als een laptop, een TV, Hifi of bijv.kleding.

Is het werkelijk zo moeilijk of omslachtig of zit de techniek op de ťťn of andere manier aan zijn plafond, over plafonds gesproken misschien een paar extra GPS satelieten om zo het makkelijker te maken overal track & trace tags in te verwerken.

Wat denken jullie hoe gaat deze branche zich ontwikkelen in de toekomst?

Beste keuze voor veilig inlogsysteem website

19-12-2011 discussie 12
Ik ben bezig met het bouwen van een veilig inlogsysteem. Ik sta nu voor een keuze: Salt per sessie toevoegen + publieke salt per user, of geen salt per sessie toevoegen + geheime salt per user.

Hoewel hier vele topics over zijn, en ook op Google veel is te vinden, zijn de meningen erg verdeeld. Ik zie zelf veel voordelen in een salt per sessie, maar dan is volgens mij de consequentie dat de user-salt publiekelijk bekend wordt. Soms lees je dat dit absoluut niet acceptabel is, sommige bronnen zeggen dat het niets uit maakt.

Wat ik nu heb gemaakt:
- Iedere user heeft een salt
- Deze salt wordt naar de cliŽnt gestuurd als een bepaalde user wil inloggen of een wachtwoord wil wijzigen
- CliŽnt side worden wachtwoord en salt gecombineerd, SHA512 gecodeerd en meegestuurd met het login formulier. Uiteraard wordt het plain-text wachtwoord dat de user heeft ingevoerd niet mee gestuurd. Dit is doorgevoerd in alle dialoogvensters/pages waar een user een wachtwoord opgeeft (login, wachtwoord keuze bij registratie, wachtwoord keuze via gemailde wachtwoord-restore-link en wachtwoord wijzigen).
- Serverside is het momenteel heel simpel: Meegestuurd gecodeerde wachtwoord wordt vergeleken met wat er in de database staat.

Al een hele verbetering t.o.v. wat ik eerder had, namelijk formulieren die plain-text verstuurd werden en wachtwoord hashes obv. MD5 zonder salt.

Maar het kan beter. De huidige situatie is nog gevoelig voor man-in-the-middle attacks waarbij simpelweg het gecodeerde wachtwoord wordt gestolen en naar hartelust kan worden gebruikt om in te loggen.
Nog een nadeel aan de huidige situatie: User-salt is bekend omdat deze mee wordt gestuurd naar de cliŽnt.

Ik kan naar mijn idee twee kanten uit:

1. Per sessie een salt meesturen, die na elke loginpoging niet meer geldig is. Hierdoor wordt een hash die door sniffing is verkregen onbruikbaar.
Ik gebruik dan bijvoorbeeld SHA512(sessie_salt+SHA512(user_salt+user_pass)) als hash.
Sessie-salt wordt uiteraard naar de cliŽnt gestuurd evenals de user-salt. Die sessie-salt vervalt na elke login (succesvol en onsuccesvol).
Server-side wordt een hash op basis van SHA512(user_salt+user_pass) uit de database gehaald, vervolgens SHA512(sessie_salt+dbhash) en dat wordt vergeleken met de hash die vanuit de cliŽnt komt. Ongeacht de uitkomst van die vergelijking wordt de sessie_salt vernietigd en eventueel opnieuw random gegeneerd voor een volgende poging.

Voordeel: Een onderschepte hash is niet te gebruiken.
Nadeel: User salt openbaar

2. De salt per user geheim houden.
Nu stuur ik die mee.
Als ik die geheim hou, dan stuurt de client een hash op basis van SHA512(user_pass), eventueel met een vaste salt er bij om bestaande dictionaries onbruikbaar te maken.
Server-side wordt een hash op basis van SHA512(user_salt+SHA512(user_pass)) uit de database gehaald, vervolgens wordt de hash vanuit de cliŽnt verder gecodeerd met SHA512(user_salt+cliŽnt_hash) en vergeleken met de hash in de database.

Voordeel: User salt niet openbaar
Nadeel: Als de hash wordt onderschept kan hiermee ingelogd worden (wachtwoord is gelukkig wel onbekend).

Naar mijn idee is het niet mogelijk om keuze 1 en 2 zo te combineren dat de nadelen vervallen en alle voordelen gelden. Volgens mij is het onmogelijk om een user salt toe te passen in combinatie met een salt per sessie zonder die user salt mee te sturen naar de cliŽnt.

Maar misschien zie ik iets over het hoofd.
Wat is de beste keus?

Ik neig naar keuze 1. De kans dat de database in verkeerde handen valt is kleiner dan dat een meegestuurde hash wordt onderschept.

N.B. Deze vraag staat los van het gebruik van SSL. Uiteraard heb je met een beveiligde verbinding het probleem niet meer dat de hash onderschept kan worden, en kan is keuze 2 het meest aantrekkelijk.
Resultaten per pagina: 25 | 50 | 100
1 2 3 4 5


Huawei Nexus 6P Apple iPad Pro WiFi FIFA 16 Samsung Galaxy S7 Fallout 4 Apple iPhone 6C Athom Homey LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True