DelphinPRO, соль можно сунуть и в константу PHP. Смысл хранить её в базе? Чтобы она просто была уникальная?
Тут на форуме был один тип "Белый тигр", он работает в какой-то конторе которая как-раз и устраняет уязвимости, так вот он писал статьи на тему обеспечения безопасности приложений, вебинар даже какой-то был. Много всего писал, как лучше апач настроить, как пхп, вообще много чего интересного. Так вот там мельком проскакивал вопрос хэширования паролей. Он объяснял, что даже если хакер дернет куку которая N раз была хэширована md5/sha1, то ему потребуются серьезные финансовые вложения, чтобы вычислить алгоритм и узнать пароль.
|