Paswoorden veilig opslaan
- 1 maart 2010,
- nog geen reacties
Uiteraard kent u het fenomeen: paswoorden op internet. Op bijna elke site waarbij u iets kan personaliseren heeft u een login en een paswoord nodig. Ook Aurealis maakt gebruik van gebruikersnamen en paswoorden bij enkele van zijn diensten. De vraag die zich echter steeds opdringt is: hoe veilig is mijn paswoord?
Om een bezoeker toegang te geven tot een bepaalde dienst is het vaak noodzakelijk te weten wie hij is, zodat er kan bepaald worden wat hij mag doen, en welke gegevens hij zal zien. Om zeker te zijn dat aan de juiste persoon toegang verschaft wordt moet hij zich authenticeren (zich kenbaar maken), zodat het systeem hem nadien kan autoriseren (de juiste rechten toekennen).
Authenticatie kan op verschillende manieren gebeuren. Aangezien vele diensten op internet relatief onbelangrijk zijn volstaat het vaak met een combinatie gebruikersnaam (wie bent u?) en paswoord (bent u het wel?) te werken. Voor erg belangrijke zaken kan er op andere en veiliger manieren gewerkt worden, denk bv. aan hoe u inlogt op uw online-banking.
In dit artikel spitsen we ons toe op het paswoord, omdat dit het meest gebruikte systeem is. Ook Aurealis maakt hier regelmatig gebruik van, onder andere bij Yife, Elkofin, Noudattaa en ons CMS MySite.
Intussen is iedereen ook al bekend met het fenomeen hacking(1), waarbij vaak aanzienlijke hoeveelheden gegevens buitgemaakt worden. Hoewel het nooit goed te praten valt, kan het voor vele gegevens niet eens zo veel kwaad dat ze buitgemaakt zijn. Anders is het met bv. paswoorden, omdat veel gebruikers hetzelfde paswoord voor meerdere diensten gebruiken.
Als ontwikkelaar van dergelijke applicaties is het dus erg belangrijk aandacht te besteden aan hoe deze paswoorden opgeslagen worden. Bij Aurealis kiezen we er steeds voor met een combinatie van technieken te werken, omdat het opvallend is dat een alleenstaande techniek heel snel achterhaald is en daardoor pertinent onveilig is.
Zo worden paswoorden bij Aurealis nooit leesbaar opgeslagen. Dit betekent natuurlijk dat als een klant ons opbelt om zijn paswoord te vragen we hem niet verder kunnen helpen. Uiteraard wordt er wel steeds een link voorzien om een nieuw paswoord aan te vragen, waarbij het nieuwe paswoord gemaild wordt naar de persoon die bij ons geregistreerd is.
Technisch gezien kiezen we tot nu toe steeds voor een combinatie van volgende technieken:
- hashing: bij deze techniek wordt een eenrichtingsversleuteling op het paswoord toegepast, zodat een ander paswoord opgeslagen wordt dan de gebruiker gekozen heeft. Telkens een gebruiker zijn paswoord invult wordt dit opnieuw op dezelfde manier versleuteld, en zo kan gecontroleerd worden of de gebruiker een correct paswoord gebruikte. Door op deze manier te werken worden geen echte paswoorden opgeslagen, zodat een eventuele hacker er ook niet veel mee kan aanvangen.
- salt: bij elk paswoord dat ingevoerd wordt voegen we manueel een complex extra stuk in, zodat het onmogelijk wordt om met een zogenaamde dictionary attack het paswoord te achterhalen. Bij dictionary attacks wordt een heel “woordenboek” domweg losgelaten op het paswoord, om zo te achterhalen welk woord gebruikt werd. Door het toevoegen van allerlei tekens komt het paswoord hoe dan ook niet meer voor in een dergelijk woordenboek, en is de kans aanzienlijk kleiner dat er een “match” gevonden wordt, en het paswoord achterhaald.
Door van deze technieken gebruik te maken kunnen we onze gebruikers garanderen dat hun paswoord veilig is, en dat ze elk paswoord kunnen kiezen dat ze graag wensen te gebruiken. Uiteraard blijft het raadzaam een sterk paswoord te gebruiken (dus geen woord, maar wel een betekenisvolle reeks karakters), en bij voorkeur een paswoord slechts op 1 plaats te gebruiken (enkel voor een bepaalde site, en niet over vele sites heen).
Hoewel deze technieken al een zeer goede basis vormen sturen we constant deze beveiligingen bij, aangezien beveiliging enorm snel evolueert.
Heb je zelf ook al problemen gehad met je paswoorden bij een bepaalde site, of heb je zelf nog suggesties hoe het veiliger en beter kan? Laat het gerust weten!
(1) hacking is eigenlijk niet de juiste term, dat is cracking. Een hacker is eigenlijk een programmeur die zich een weg zoekt in de code van anderen om deze te verbeteren of fijn te stemmen. Crackers doen dit eveneens, maar dan met minder nobele bedoelingen. Zie Wikipedia voor meer gedetailleerde uitleg
Terug naar alle artikelsReageer op dit bericht
Gelijkaardige artikelen
- Aurealis blog
- Een mobiele website, enkele bedenkingen
- Automatische backups
- Kwaliteit in webdesign en webontwikkeling
- Service in webdesign en webontwikkeling
- Een website of webapplicatie bouwen?
- Kwaliteitslabels en hun prijs
- Hoe snel kan mijn website gelanceerd worden?
- Aurealis, een blik achter de schermen
- Het onderhoudscontract bij uw website
- Performantie optimalisatie
- Deze site kan schade toebrengen aan uw computer, zegt Google
- Splinternieuwe Aurealis MySite live
- Gebruiksstatistieken op Aurealis MySite websites
- Spelen met Google Maps
- Het Aurealis Webdesign Portfolio
- Noudattaa, onze administratieve webapplicatie
- Geen deadlines bij Aurealis
- Een website voor syndicus of VME
- Op de hoogte blijven van onze realisaties
Reacties
Er zijn nog geen reacties.