Passwort speichern in 2017

Question

So arbeite ich auf meiner eigenen Website mit meinem Login-System. Ich arbeite gerade an der Speicherung von Passwörtern und habe mir ein paar Youtube-Videos angesehen, in denen Leute mir sagen, dass ich Dinge wie md5 nicht benutzen soll, weil es veraltet ist.

Ich schaute auf das Video, das Tom Scott über das Speichern von Passwörtern machte, und er sagte uns, dass wir ein aktuelles Tutorial nachschlagen sollten, wie es richtig gemacht wird.

Für mein Projekt muss ich wirklich die Passwörter selbst speichern und nicht wie Facebook oder Google für Anmeldungen verwenden.

Ich habe hier auf Stack Overflow viele Websites und Fragen angeschaut, aber ich kann nichts von diesem Jahr finden, wo alles erklärt ist.

So, jetzt frage ich mich, was ist der beste Weg, um 2017 Passwörter zu speichern? Muss ich ein Salz und einen Pfeffer verwenden? Vielleicht etwas anderes? Und welcher Hash-Algorithmus ist in diesem Moment der beste? Wenn möglich, möchte ich dies innerhalb von PHP verwenden.

Kann mir jemand mit diesen Fragen helfen?

Danke :)

Answer 1

Ich gehe davon aus, dass Sie nur wollen, Passwörter für die Benutzerauthentifizierung speichern, und Sie für eine PHP-Lösung explizit gefragt, so muss die Antwort sein, die PHP-Funktion password_hash() zu verwenden. Diese Funktion ist auf dem neuesten Stand und behandelt alle kniffligen Teile des Passwort-Hashings.

// Hash a new password for storing in the database. 
// The function automatically generates a cryptographically safe salt. 
$hashToStoreInDb = password_hash($password, PASSWORD_DEFAULT); 

// Check if the hash of the entered login password, matches the stored hash. 
// The salt and the cost factor will be extracted from $existingHashFromDb. 
$isPasswordCorrect = password_verify($password, $existingHashFromDb); 

Wenn Sie in mehr indept Informationen interessiert sind, können Sie einen Blick auf meine tutorial über sicher Speicherung von Passwörtern haben.