Hashing av passord

[kongen]

Skal man bruke clientside eller serverside for passordhashing ved kontoregistrering og innlogging?

 

[adeneo]

Det har vel ikke spesielt mye for seg å gjøre det på klientsiden hvor alt uansett er synlig for brukeren

 

[Posterum]

Serverside, bruk f.eks sha1()
Unngå å bruke md5 for passord..

 

[drlinux]

sha1 er også ut, nå er det vel bcrypt som anbefales. Hvis du bruker PHP 5.5, så har denne en funksjon password_hash() som ordner det for deg.

 

[Posterum]

Ja sha1 kan være utsatt for rainbow table, dette gjelder vel i utgangspunktet kun for veldig korte passord. Dersom du setter en minimum på 8 tegn for passordet i registreringen vil det gi 218 billioner kombinasjoner (gitt at passordet akkurat er 8 tegn) så det kan fortsatt anses som trygt, så lagt passordet møter noen minimumskrav. Men enig med deg ja, password_hash() er et bedre alternativ

 

[kongen]

Gir SHA512 alltid 128 tegn? Skal db-felt være CHAR(128)?

 

[adeneo]

Ja og ja.

 

[complx]

Selv bruker jeg BlowFish crypt til og Hashe password. Se her for mer info. Better Password Encryption using Blowfish < PHP | The Art of Web