Tyranron: хех, прогнал sha256 10 000раз, это заняло всего 152мс. Этого достаточно и на сколько это глупо? Понимаю, что можно использовать более трудоемкие алгоритмы хеширования, но даже если в таком виде.
Tyranron: выходит: 1) хэшируем пасс, что бы не хранить в исходном виде и в случае утечки базы через злоумышленника/админа, не дать им возможность получить доступ к аккаунтам; 2) подкидываем уникальную соль при хешировании, что бы затруднить брут через радужные таблицы; 3) делаем множество итераций хэширования, что бы увеличить время перебора по словарю. Я правильно понял?
other_letter: система регистрации? Как всегда, целью является идентификация пользователей и учет их действий на сайте. Пока остановился на том, что юзер будет вводить меил и пасс (если не устроит предложенный). Меил можно будет подтвердить позже и по нему же сбросить пасс. Сам пасс будет шифроваться
Согласен. Хранить пароль в открытом виде в бд - это полное безумие. Про возможность ввести свой пасс вместо уже готового тоже спасибо. Стоит ввести такую возможность.