[MySQL][PHP] Pomysł na solenie haseł Opcje

[mentoos]

Piszę klasę do obsługi użytkowników m.in logowanie itp. Chcę jak najlepiej zabezpieczyć hasła użytkowników przed atakami brute force itp.
Chcę użyć takiego systemu solenia haseł do ich zabezpieczenia. Składałby się z ciągu liczb, który byłby dowolnie modyfikowany np 1,2,4,8,15 itd , funkcji uniqid() i microtime() , które generują unikalne ciągi oraz z tablicy ze znakami specjalnymi, które losowałbym.

Czy taki system solenia byłby skuteczny?

Jeszcze jedno.

Czy przechowywanie soli do hasła w bazie danych jest bezpieczne? W końcu muszę jakoś jej użyć żeby można było porównać hasło.

[#luq]

No właśnie soli w bazie nie powinno się trzymać bo jeśli ktoś Ci wykradnie bazę z hashami hasła i widzi obok pole "salt" to sprawdza czy ktoś nie ma hasła takiego jak login, jeśli się takie trafi (a raczej się trafi przy dużej bazie) to kombinuje w jaki sposób jest sól doczepiana, kwestią czasu jak pozna, a jak pozna to sól w niczym nie przeszkadza.

Chyba najlepszym rozwiązaniem jest trzymanie elementów soli w plikach na serwerze, jakiś config, bo wtedy musisz mieć bazę + dostęp do serwera/hasło do FTP + następny element soli jest unikalny dla każdego użytkownika, jest to np. data jego rejestracji, bo jest niezmienna.

No gdzieś je przechowywać musisz. Zastosuj jedną losową sól i unikniesz dodatkowego pola w bazie.

No ale zawsze gdzieś trzeba zapisać to co się wylosowało przy rejestracji, inaczej to się nie zalogujemy (IMG:style_emoticons/default/biggrin.gif)