Я читал о том, как реализовать безопасность на веб-сайте с помощью хэширования, и я не создаю ничего ужасно чувствительного, как банк или хранящего кредитные карты. Однако мне хотелось бы узнать лучшие практики. Мой сайт имеет сертификат TLS с AES 256Хеширование и меры безопасности в PHP
Основные вопросы:
1.) Отправка хэш пароля хэшированного снова через сессии, кажется, единственный способ, которым я могу думать, чтобы держать сессию достаточно безопасным. На мой взгляд, меня не волнует, нашел ли пользователь эту ценность, но мне было бы интересно, нашел ли пользователь какой-то способ увидеть базу данных и точно знал, что такое мой алгоритм шифрования.
2.) Должен ли я просто полностью вынуть свой алгоритм до хэширования пароля или использовать разные методы хэширования?
Можно ли использовать sha512 до или после bcrypt, поскольку оба эти звука являются достаточными для столкновений и грубой силы?
A (действительно) хороший способ генерации хэшей это умножить его на какой-то алгоритм времени, например «60x60x24» или что-то в этом роде. Лично я использую некоторые десятичные числа, такие как «1.02401 x секунд x минут x часов». Все это в верхней части текущей системы у вас на месте. Вы также можете использовать закрытый ключ как свое семя, которое вы должны защищать своей жизнью или, по крайней мере, менять его один раз в неделю. – ionFish
Что вы имеете в виду, умножив его? –
Вы имеете в виду включение времени в исходное хеширование? если да, как бы вы проверили его против db? –