- セキュリティが必要な場合は、あなた。しなければならない。使用する。 HTTPS。適切な、自己署名されていない証明書を使用します。何をするにしても、暗号化されていない通信で認証されたIDを盗むのは簡単です。 (パスワードを気にしないでください。攻撃者は、すべてのリクエストで提供されるセッションCookieを盗むことができます。)
- ハッシュ自体は無価値です。塩を加える必要があります。 (これは実際には認証とは関係ありません。誰かがデータベースを盗んだ場合の防御の第2層です。これは、有望なターゲットになった場合、遅かれ早かれ起こるでしょう。)長いランダムなユーザーごとのソルトでbcryptを使用します。 sha *は速すぎるため、安全ではありません。
- セキュリティを意識した大規模なプロジェクトですでに使用されているメソッドを使用します。これらの方法は、ある程度、時の試練に耐えてきました。いかなる形式でもパスワードを送信しないようにするチャレンジ応答ベースの方法がありますが、暗号化は難しく、安全でない方法で安全なアルゴリズムを実装するのは非常に簡単です。優れたセキュリティフレームワークを使用します(例: PHPass )、広く使用されていないコードに依存しないでください。