- यदि आप सुरक्षा चाहते हैं, तो आप। जरूर। उपयोग। एचटीटीपीएस। एक उचित, गैर-स्व-हस्ताक्षरित प्रमाण पत्र के साथ। आप जो कुछ भी करते हैं, अनएन्क्रिप्टेड संचार में प्रमाणित पहचान चोरी करने के लिए तुच्छ होगी। (पासवर्ड पर ध्यान न दें, हमलावर हर अनुरोध के साथ प्रदान की गई सत्र कुकी को आसानी से चुरा सकता है।)
- हैशिंग अपने आप में बेकार है, आपको इसे नमक करना चाहिए। (यह वास्तव में प्रमाणीकरण से संबंधित नहीं है - यह उस मामले के लिए बचाव की दूसरी परत है जब कोई आपका डेटाबेस चुराता है। जो शायद जल्दी या बाद में होगा यदि आप एक आशाजनक लक्ष्य बन जाते हैं।) लंबे यादृच्छिक प्रति-उपयोगकर्ता नमक के साथ bcrypt का उपयोग करें, sha* असुरक्षित है क्योंकि यह बहुत तेज़ है।
- उन विधियों का उपयोग करें जो पहले से ही बड़ी, सुरक्षा-जागरूक परियोजनाओं द्वारा उपयोग में हैं। वे तरीके, कुछ हद तक, समय की कसौटी पर खरे उतरे हैं। चुनौती-प्रतिक्रिया आधारित तरीके हैं जो किसी भी रूप में पासवर्ड भेजने से बचते हैं, लेकिन क्रिप्टो कठिन है, और असुरक्षित तरीके से सुरक्षित एल्गोरिदम को लागू करना बहुत आसान है। एक अच्छे सुरक्षा ढांचे का उपयोग करें (उदा. PHPass ), उस कोड पर भरोसा न करें जो व्यापक रूप से उपयोग में नहीं है।