[PHP][MySQL]Szyfrowanie hasła solą Opcje

[Barcelona]

Witam, krążę właśnie nad zabezpieczeniem mojej strony za pomocą szyfrowania haseł solą. Dużo się o niej wspomina, jakie ma wady i zalety, ale nigdzie konkretnie nie znalazłem jakichś porad w jaki sposób mogę zastosować to szyfrowanie.
Znalazłem skrypt na openwall, pobrałem go razem z dokumentacją, ale jest ona tylko i wyłącznie w języku eng. Dogadać to się dogadam, ale czytać to już nie za bardzo (IMG:style_emoticons/default/wstydnis.gif)
Znajdzie się jakaś dobra dusza, która pomoże mi z tym problemem.

P.S. Aktualnie szyfruje hasła za pomocą md5. Czytałem że na dzień dzisiejszy nie jest to dobre zabezpieczenie (brutal force i te sprawy), jednak pomyślałem żeby przy logowaniu zastosować recaptcha od google. Myślę że w jakiś sposób zatrzymało by to próbę b-f.

Drugim moim pomysłem jest zrobienie warunków. Jeżeli hasło zaczyna się na np. literkę na to ma szyfrować za pomocą md5, a na przykład jak zaczyna się na b to już za pomocą SH1. Wiem że jest to łopatologiczne rozwiązanie, ale myślę że było by skuteczne (IMG:style_emoticons/default/smile.gif)

To na początek wrzuce przykładowy skrypt logowania

[PHP] pobierz, plaintext 
$login = mysql_real_escape_string(trim($_POST['login']));
$haslo = mysql_real_escape_string(trim($_POST['haslo']));
$adres = $_SESSION["adres"];
 
if (isset($login) && $login=="") { $blad++;
	$komunikat .= "Login nie został podany!<br />";
  }
if (isset($login)) {
       $wynik=mysql_query("SELECT * FROM logowanie WHERE login='$login'");
    if (mysql_num_rows($wynik)==0) { $blad++;
	  $komunikat .= "Login <b>$login</b> nie widnieje w naszej bazie! <br />";
    }
  }
if (isset($haslo) && $haslo=="") { $blad++;
	$komunikat .= "Hasło nie zostało podane!<br />";
  }
if (isset($haslo)) {
	$haslo_spr = md5($haslo);
       $wynik=mysql_query("SELECT * FROM logowanie WHERE login='$login' AND haslo='$haslo_spr'");
    if (mysql_num_rows($wynik)==0) { $blad++;
	  $komunikat .= "Hasło nie jest prawidłowe! <br />";
    }
  }
if ($blad>0) {
echo "<div class='error'>".$komunikat."</div><br/>"; 
}
[PHP] pobierz, plaintext 

Pozdrawiam

[thek]

Im bardziej "niestandardowy" skrypt hashujący, tym lepiej. Gdyby był jeden genialny, to by już przestał być genialny, bo pod niego by pisano łamacze (IMG:style_emoticons/default/wink.gif)

Możesz losowo wybierać metodę. Przykładowo gdy ktoś wpisuje login i hasło, sprawdzasz obecność loginu w bazie. Gdy jest, pobierasz rekord i dane z nim związane. Mogą one zawierać informacje o indywidualnej soli, typie algorytmu hashującego czy wszelkich ustawionych dla danego konta rzeczach niestandardowych. Na ich podstawie sobie ustawiasz co idzie do algorytmu hashującego i jego wyjście porównujesz z hashem zapisanym w bazie.