Przesyłanie hasła do bazy danych - zabezpieczenie

Question

Jak należy przesyłać hasło do bazy? Czy korzystanie z HTTPS likwiduję konieczność jego szyfrowania? Póki co przesyłam hasło przy rejestracji do bazy po HTTP i w bazie jest zapisane jako goły tekst. Czy tak powinno być? Jakie są dobre nawyki?

Answer 1

Powinno się szyfrować (hashować) hasło, korzystać z HTTPS oraz bindować dane przy wysyłaniu zapytania do bazy danych.

Comments

Szyfrowanie != hashowanie. Drugi z tych procesów jest nieodwracalny.

Answer 2

Przysyłaj od bazy zahaszowane hasło, na przykład:

<?php

    $raw_password = "qwerty123";
    $hash_password = password_hash($raw_password, PASSWORD_DEFAULT);

    echo $hash_password;

?>

 

Answer 3

Pomimo stosowania HTTPS powinieneś zapisywać w bazie tylko skrót hasła(hasz). Zaleca się stosować w nowych aplikacjach hasze wykonane za pomocą algorytmów SHA-2 i SHA-3. Kolejnym zagadnieniem jest tak zwana sól. Czyli kolejne zabezpieczenie. Mamy oprócz hasza w bazie wygenerowany losowy ciąg znaków. Jeśli użytkownik próbuje się zalogować to do tego co wpisał w pole hasła jest dodawana własnie ta sól. Sposoby łaczenia soli z hasłem są różne, na końcu na początku czy jeszcze co druga literka. Dopiero z tego jest generaowany hasz. Jeśli hasz zgadza się z tym co w bazie to użytkownik może wejść.

Comments

Przy niektórych z dzisiejszych metod hashowanie sól jest zbędna.