Хеш пароля, уникальная соль?

Question

[sdevalex]

Есть ли статья по теме создания хороших хешей? Где хранить уникальную соль?

Answer 1

[Anton_from_Amber]

Намедни статью переводную опубликовали. Как раз про использование соли.
Если у вас паранойя, то соль лучше не хранить, а высчитывать на основе относительно доступных данных. Возьмите, к примеру артикул первой покупки пользователя, допишите сумму товара, добавьте общую константную соль и заверните это всё в MD5. Если покупок не было, то первый просмотенный товар (думайте сами). Если у вас данные по деньгам хранятся в другой БД получится достаточно стойко.
Можно генерить соль и новый хеш на основе последней записи в микроблоге или логине прикреплённого менеджера. фантазируйте.
Главное, ограничить возможность доступа к этим данным злоумышленника при частичной компроментации системы. К примеру у него естьтаблица с логинами и хешем, есть доступ к контенту сайта, но не получилось получить БД билинга. Или нет доступа к файловой системе, а вы завязались на параметры аватары. Уже будет сложнее.

Answer 2

[iStyx]

Первое, что пришло в голову:

hashed_password = sha1(md5(password)+password)

Answer 3

[HarpyWar]

Процитирую товарища varnar:

чтобы перебор не помог нало использовать bcrypt и солить его SHA-512 в несколько итераций, чтобы генерирование нужного хеша занимало, ну, например полсекунды.
Пароли надо ШИФРОВАТЬ а не хешировать, хэширование рассчитано на быстрое вычисление хэша, а нам как раз этого и не надо.