- Jika Anda menginginkan keamanan, ANDA. HARUS. MENGGUNAKAN. HTTPS. Dengan sertifikat yang layak dan tidak ditandatangani sendiri. Apa pun yang Anda lakukan, identitas yang diautentikasi dalam komunikasi tidak terenkripsi akan mudah dicuri. (Terlepas dari kata sandinya, penyerang dapat dengan mudah mencuri cookie sesi yang disediakan untuk setiap permintaan.)
- Hashing sendiri tidak ada artinya, Anda harus mengasinkannya. (Ini tidak benar-benar terkait dengan otentikasi - ini adalah lapisan pertahanan kedua untuk kasus ketika seseorang mencuri database Anda. Yang mungkin cepat atau lambat akan terjadi jika Anda menjadi target yang menjanjikan.) Gunakan bcrypt dengan garam per pengguna acak yang panjang, sha* tidak aman karena terlalu cepat.
- Gunakan metode yang sudah digunakan oleh proyek besar yang sadar keamanan. Metode-metode itu, sampai taraf tertentu, bertahan dalam ujian waktu. Ada metode berbasis tantangan-respons yang menghindari pengiriman kata sandi dalam bentuk apa pun, tetapi kripto itu sulit, dan sangat mudah untuk menerapkan algoritme aman dengan cara yang tidak aman. Gunakan kerangka kerja keamanan yang baik (mis. PHPass ), jangan mengandalkan kode yang tidak banyak digunakan.
