Quel est le meilleur moyen de stocker le mot de passe en toute sécurité (hachages)

Question

De nos jours, de nombreux sites Web sont piratés et les hachages de mot de passe sont volés. Même les grands sites comme LinkedIn ne stockaient pas leurs mots de passe sécurisés (juste md5).

Maintenant, est ma question, ce qui est un moyen assez sécurisé pour hacher le mot de passe?

Actuellement, je suis en utilisant ceci:

sha512(sha512(sha512(password) + salt)); 

Est-ce assez sécurisé?

Answer 1

Oui, c'est plus que suffisant. Personnellement je pense que le dernier appel sha512 est inutile mais je sais que les opinions diffèrent.

Bien sûr, ceci est sûr tant que les mots de passe ne peuvent pas être devinés en utilisant une tactique de force brute. Aucune quantité de hachage ne vous protégera si les utilisateurs choisissent un mot de passe de 4 lettres ou le prénom de leur épouse.

Answer 2

Cela dépend de votre sel. Générez-vous un sel unique pour chaque utilisateur? Un sel n'est pas une constante, si chaque mot de passe est haché avec le même sel, vous perdez votre temps.

Je recommanderais d'utiliser bcrypt au lieu du SHA512/approche de sel, il est beaucoup plus difficile à la force brutale: http://krebsonsecurity.com/2012/06/how-companies-can-beef-up-password-security/

Answer 3

L'utilisation de sel comme vous utilisez est maintenant un très bon pour améliorer la sécurité, je recommande fortement d'utiliser au hasard sel pour chaque utilisateur. À mon humble avis, plus le mot de passe de l'utilisateur sera haché (vous pouvez améliorer la sécurité en ajoutant du sel avant de le hacher à chaque fois) plus il sera sécurisé. J'utilise pour boucle avec comme 256 répétitions au mot de passe de hachage qui peut être considéré comme sûr contre la force brute pour le prochain groupe d'années.

un peu hors sujet, mais je vous recommande de prendre également soin de séance hijack (comme régénérant, etc ... ssids)

Answer 4

hash_hmac('sha512', $data , $key); 

serait génial. Il est préférable d'utiliser au moins 60 caractères pour $ key comme sel.

Answer 5

Il est difficile de dire lequel est le meilleur, mais un pari sûr est l'algorithme BCrypt.

BCrypt n'est pas le meilleur algorithme disponible; cependant, il est suffisant pour la grande majorité des cas d'utilisation, et il est tout aussi facile à mettre en œuvre, sinon plus facile, que la méthode de base du hachage et du sel. Ce qui distingue BCrypt, c'est qu'au lieu de l'algorithme SHA- * plus typique, il utilise l'algorithme Blowfish, qui a l'avantage d'être beaucoup plus lent en parallèle. Comme les utilisateurs se connectent un à la fois, les attaquants, qui testeront de nombreux mots de passe, auront beaucoup plus de mal à battre l'algorithme.

Plus ici: http://davismj.me/blog/bcrypt/