Pracuję nad web administration module for mailservers (to open source, jeśli chcesz rzucić okiem).Jak bezpiecznie generować hasze SSHA256 lub SSHA512 w PHP?
W tym celu muszę mieć możliwość generowania hashowanego hasła, które będzie można odczytać przez Dovecot. Jako described on their wiki, ich zalecany schemat mieszania haseł to SSHA256 (dodatkowa S jest przeznaczona do solenia).
To również wyjaśnia, że może to być w miarę proste do wykonania czegoś podobnego tego kodu PHP:
$salt = 'generate_a_salt_somehow';
$hash = hash('sha256', $password . $salt);
Jednak z tego co czytałem na temat kryptografii, że jest dość naiwny sposób, aby wygenerować solone mieszań , ale jeśli robisz to źle, gdy typing A-E-S in your source code, pomyślałem, że to samo może być prawdą w tym przypadku.
Więc jeśli masz wgląd w kryptografię, chciałbym usłyszeć o najbezpieczniejszym sposobie na to, czy to mcrypt, mhash czy cokolwiek innego.
O tak, bezpieczny sposób na przygotowanie skrótu również byłby dobry :) – mikl
http://php.net/manual/en/function.ha sh-hmac.php –
Czy skrót musi pasować do innych implementacji? Czy akceptowalna jest unikalność witryny? – wallyk