Как обезопасить пароли при регистрации/авторизации?

Question

[lexstile]

Подскажите, пожалуйста, какой вариант из двух предложенных ниже, надежнее:

1. используем ф-цию password_hash() (весь результат храним в БД)
   
2. используем ф-цию hash_hmac('sha256', $password.$salt, SECRET_KEY) (храним в БД хеш и соль, а также в конфиге секретный ключ)
   

Может быть, есть еще вариант - более правильный?

Comments

[edward_freedom]

не храни пароль вообще, как телеграм

Answer 1

[Adamos]

3. Использовать готовые решения из популярных фреймворков.
Поскольку оба варианта 1 и 2 в теории более чем достаточны для любого обычного сайта, а вот на практике в самописной авторизации неуверенный программист может просто-напросто налажать.

Comments

[lexstile]

благодарю за ответ.

Answer 2

[ThunderCat]

Отличный подход - заранее знать что твои данные в дырявых руках )
Если код сольют, разницы никакой не будет, точнее password_hash() даже понадежнее будет.
Если код не сольют, а допустим только бд вытащат, hash_hmac выглядит надежнее, но по сути не сильно далеко от первого варианта.

На практике во первых задрачивать в псевдобезопасность абсолютно никакого смысла не имеет, ибо password_hash() достаточно надежен, и если уж очень хочется "понадежнее" - cost побольше и вперед, а во вторых плодить кастомные решения в обход специализированных функций это фуфуфу, кака, моветон и гемор всем кто будет это поддерживать.

Comments

[lexstile]

Спасибо большое за развернутый ответ.

[Adamos]

Есть, в теории, и оборотная сторона: на стандартное решение проще натравить бота, чтобы автоматизировать слив информации. Нестандартное такой автомат поломает. Но прикладывать эту теорию к конкретному Неуловимому Джо просто смысла нет.