Je travaille sur un site qui est (essaie d'être) super sécurisé. Je lis beaucoup sur le hachage des mots de passe et l'utilisation de sels, mais tout n'est pas clair pour moi. Je voudrais utiliser l'algorithme de hachage sha-256 avec du sel. Je sais à propos des sels que tous devraient être unique par mot de passe par utilisateur.Mot de passe hachage et sels en PHP
Je me demande si j'utilise le mot de passe comme sel aussi? Hash le mot de passe avec sha256, puis hachez-le avec un autre algorithme et l'utiliser comme sel. De cette façon, je ne dois pas stocker le sel dans la base de données. Est-ce possible? ou devrais-je générer une chaîne aléatoire?
Non, utilisez 'password_hash' - c'est la manière standard de hacher et de saler les mots de passe avec PHP. L'idée avec ceci est que les algorithmes de hachage sont délibérément lents, et ne peuvent pas être parallélisés, alors que SHA-256 pourrait être trop rapide. Si votre algorithme de hachage est rapide, les mots de passe hachés peuvent être dérivés simplement par une recherche par force brute. – halfer
duplication possible de [Secure hash et le sel pour les mots de passe PHP] (http://stackoverflow.com/questions/401656/secure-hash-and-salt-for-php-passwords) – halfer
Ce n'est pas la même question mais a une bonne description, merci. Peut-être que je n'étais pas si clair. Je veux utiliser mon mot de passe comme du sel aussi sous une forme hachée. – Bakayaro