Bantulah diri Anda sendiri dan gunakan perpustakaan standar untuk hashing kata sandi Anda.
Karena keamanan cenderung jauh lebih rumit dan dengan kemungkinan gangguan yang lebih tidak terlihat daripada yang dapat ditangani sendiri oleh kebanyakan programmer, menggunakan pustaka standar hampir selalu merupakan opsi yang paling mudah dan paling aman (jika bukan satu-satunya) yang tersedia.
Perpustakaan standar :
Lihatlah:Kerangka kerja hashing kata sandi PHP portabel
:phpass dan pastikan Anda menggunakan CRYPT_BLOWFISH algoritme jika memungkinkan.
contoh kode menggunakan phpass (v0.2):
require('PasswordHash.php');
$pwdHasher = new PasswordHash(8, FALSE);
// $hash is what you would store in your database
$hash = $pwdHasher->HashPassword( $password );
// $hash would be the $hashed stored in your database for this user
$checked = $pwdHasher->CheckPassword($password, $hash);
if ($checked) {
echo 'password correct';
} else {
echo 'wrong credentials';
}
PHPass telah diimplementasikan di beberapa proyek yang cukup terkenal:
- phpBB3
- WordPress 2.5+ serta bbPress
- rilis Drupal 7, (modul tersedia untuk Drupal 5 &6)
- lainnya
Hal baiknya adalah Anda tidak perlu khawatir tentang detailnya, detail tersebut telah diprogram oleh orang yang berpengalaman dan ditinjau oleh banyak orang di internet.
Apa pun yang Anda lakukan jika Anda memilih 'Saya akan melakukannya sendiri, terima kasih ' pendekatan, jangan gunakan MD5 lagi . Ini adalah algoritma hashing yang bagus, tetapi benar-benar rusak untuk tujuan keamanan .
Saat ini, menggunakan crypt
, dengan CRYPT_BLOWFISH adalah praktik terbaik.
CRYPT_BLOWFISH di PHP adalah implementasi dari hash Bcrypt. Bcrypt didasarkan pada cipher blok Blowfish, memanfaatkan penyiapan kunci yang mahal untuk memperlambat algoritme.
Untuk informasi selengkapnya tentang skema penyimpanan sandi, Anda juga dapat membaca Jeff `s blog posting tentang itu:Anda Mungkin Salah Menyimpan Kata Sandi
