Création hash des mots de passe

Question

Je crée une coutume CMS et ont construit un système de connexion et errait la vulnérabilité hachant les mots de passe de cette façon serait comparé à simplement en utilisant la fonction md5 php comme ceci:

<?php $token = md5($salt . $password . $pepper); ?> 

La plupart les gens juste ajouter un sel, mais en ajoutant du poivre tout à fait logique si vous allez ajouter du sel :)

Voici comment je fais

<?php $token = hash_hmac('sha512', $salt . $password . $pepper, $key); ?> 

la clé $ serait une valeur dans la dat abase qui est unique à chaque utilisateur. Les chaînes $ salt et $ pepper sont des chaînes générées de manière aléatoire. Le mot de passe $ est bien sûr le mot de passe.

Ajouté le 07/24/09

Merci pour toutes vos réponses. Quelqu'un at-il des exemples de la façon dont ils font un script de hachage pour créer des mots de passe à stocker dans une base de données?

Answer 1

similaires à: https://stackoverflow.com/questions/1111494

Assurez-vous que vous lisez ceci:

http://www.matasano.com/log/958/enough-with-the-rainbow-tables-what-you-need-to-know-about-secure-password-schemes/

Et ceci:

bcrypt is obsolete

Answer 2

Votre méthode utilise un hachage plus fort.

Je ne vous vois pas vous ouvrir à des vulnérabilités supplémentaires.

Answer 3

MD5 ne convient pas à des fins de chiffrement, utilisez SHA -1 ou SHA-256 préférable.

http://www.mscs.dal.ca/~selinger/md5collision/