Я решил начать с двойной аутентификации пароля в недавнем проекте. Детали входа: электронная почта, пароль, секрет.Проверка двойного пароля
Пароль (мин. 8 ч.) И секрет (мин. 6 ч) - это два пароля.
Чтобы сделать так сложно, как взломать их, я думал, что должен зашифровать имя пользователя с помощью openssl и использовать два пароля в качестве ключа шифрования и вектора инициализации.
openssl_encrypt($email, 'aes-256-cbc', $password, false, $secret)
Является ли это безопасным или я просто придумал плохую идею?
посмотреть 'password_hash', его односторонний хэш, http://php.net/manual/en/function.password-hash.php – Andrew
, который требует, чтобы я хранил пароль. Моя идея состояла в том, чтобы не хранить пароли, просто зашифрованное имя пользователя на основе их – transilvlad
Что заставляет вас думать, что два пароля лучше одного? Это не двухфакторная аутентификация, которая обычно означает два из: то, что вы знаете (например: пароль), то, что у вас есть (например: RSA fob) или что-то, что вы (например: отпечаток пальца). – zaph