Je suis en train de mettre à jour le niveau de sécurité de mon site.BCRYPT et Random SALTS ensemble dans la base de données
Lors de la recherche de la meilleure méthode pour stocker les mots de passe, j'ai trouvé l'option BCRYPT dans PHP 5.3. J'ai implémenté cette fonction pour utiliser un SALT statique, cependant j'ai lu que chaque mot de passe doit avoir un SALT différent ou qu'il va à l'encontre du but.
Dois-je stocker le fichier SALT dans la base de données avec l'enregistrement utilisateur en texte brut? Est-ce que cela va aussi à l'encontre du but? ou devrais-je hacher le sel en utilisant md5 et le stocker dans la base de données?
Quelle est la meilleure méthode lors de la mise en œuvre et de l'entreposage des SALT?
Jetez un oeil à la bibliothèque [PHPass] (http://www.openwall.com/phpass/). Il offre une fonctionnalité drop-in pour le hachage de mot de passe avec BCrypt et est largement considéré comme une bonne bibliothèque sécurisée. Voir aussi: http://stackoverflow.com/questions/1581610/how-can-i-store-my-users-passwords-safely – Jacco