hej!

Vilken teknik bör man använda i dagens läga när man vill hasha ett lösenord, som användaren anger vid inloggning? Tidigare har jag använt md5, som ju finns i javaScript-format. Finns något nyare och bättre, som även funkar på klientsidan i en webbrowser?

mvh
henrik

Om det är säkerhet vid inloggning du är ute efter så är det någon form av krypterad anslutning som gäller, dvs. ssl

ssl hade jag också tänkt använda. Det kanske inte är någon poäng att hasha lösenord om man kör trafiken genom ssl?

Du vinner inget (inte så mycket iaf) på att hasha ett lösenord på klienten om du inte tar med ett salt som är unikt för sessionen. Utan salt blir hashen samma vid varje inloggning och om någon sniffar upp den kan den användas vid ett inloggningsförsök. Anledningen till att man vill hasha på klienten måste vara för att man inte vill att någon ska kunna sniffa lösenordet, men utan salt går det lika bra att logga in med det hashade lösenordet som med det i klartext.

Som Oskar redan påpekat är det bästa att använda ssl. Annars kan du hasha med t.ex. MD5 om du inkluderar ett salt som genereras på servern och sparas i sessionen (du får inte lita på att klienten postar det, då kan samma salt användas flera gånger).

/Johan

<b>Det kanske inte är någon poäng att hasha lösenord om man kör trafiken genom ssl?</b>

Nej

/Johan

Att hasha lösenord även om man kör SSL kan vara en god idé men då räcker det med att hasha det på servern och kontrollera mot det hashade lösenordet i databasen.

Annars räcker det med att komma åt tabellen med användarnamn och lösenord och då kvittar SSL om man inte har certifikat där man inte kan ladda ned det utan måste få det tillsänt sig av den som "äger" applikationen.

Nackdelen med att hasha i databasen är att man inte kan (via epost eller SMS) skicka befintligt lösenord men samtidigt, har användaren glömt sitt lösenord så kan man generera ett nytt och skicka till honom/henne

Eftersom detta lades i ASP .Net 2.0 forumet så antar jag att du sitter med ASP .Net 2.0 där har du de nya membership klasserna och stödet som faktiskt gör detta jobb åt dig genom lite konfiguration.
Dvs hasha och salta lösen samt sköta login etc utan att du själv måste skriva koden för denna hantering. Rätt smidigt...

Fördel med salt är att det blir svårare att frå fram ett lösen om de får tag i hashen, men det skydar inte mot prute force attacker så lika mkt energi man lägger på att hasha o salta så bör man lägga krut på att se till så användaren skapar ett lösen som tar lång till att knäcka.

ett läsen med konstiga tecken så som _ gör att brute force tar längre tid än om man bara använder A-Z 0-9 tecken.

Mvh Johan