question de génération de sel et hash

Question

Je voudrais juste vos commentaires sur quelque chose.

Fondamentalement, j'ai une valeur appelée $ uniqueID qui est = ID + Première lettre du prénom + Première lettre du nom + la chaîne « CAN »

je puis transformé $ uniqueID en une valeur de sel comme suit $ salt = sha1 ($ uniqueID);

J'ai ensuite transformé le mot de passe de l'utilisateur en une valeur de hachage en utilisant md5().

J'ai ensuite stocké ces deux valeurs seperatley dans une base de données en utilisant les types de données corrects. Je me demandais simplement si ce serait un moyen sûr de sécuriser deux types de validation de l'utilisateur? La validation du mot de passe serait faite par l'utilisateur et le $ uniqueID serait fait via un script. Je n'offrirai pas de service pour vous rappeler votre mot de passe, vous devrez en créer un nouveau.

J'ai également implémé quelques secuirty pour les sessions.

Answer 1

En général, un sel est une valeur aléatoire unique pour chaque donnée pour laquelle il est utilisé. Cela signifie que chaque utilisateur doit avoir son propre sel aléatoire et unique qui est utilisé lors du hachage de son mot de passe. Et n'utilisez aucune information utilisateur pour générer un sel.

Vous pouvez, par exemple, utiliser rand et uniqid pour générer un sel aléatoire et unique pour chaque utilisateur:

$salt = uniqid(rand(), true); 

Ce sel serait à la fois unique et aléatoire.

Answer 2

Je vous recommande d'utiliser sha1 sur le champ $uniqueID et le mot de passe.

Assurez-vous également de sel votre champ de mot de passe.

En outre, il est à noter que les hachages à sens unique peuvent arriver à la même valeur à partir de différentes entrées. Comme le souligne Gumbo, si vous envisagez d'utiliser $uniqueID comme identifiant unique, vous rencontrerez des problèmes. (Donc ne le faites pas ;-)

Si vous voulez utiliser uniqueID comme clé de session, alors vous voudrez au moins vérifier la collision avant de l'utiliser. Voir Zend.Session, CodeIgniter->session et Kohona::Session