Estoy desarrollando un proyecto nuevo y siempre me ha surgido la duda en relación al Hash de la contraseña y su almacenamiento.
Al general el Hash el mismo devuelve el cifrado usado (ej. $2y$10 ) y el salt (ej. $1234567890123456789012), seguido del cifrado en sí.
La cuestión es que si alguien accede al Hash devuelto, sabrá que tipo de cifrado se usó, el coste y el salt, por lo que no debería de ser complicado obtener la contraseña por fuerza bruta. Por eso mi cuestión es saber si debería almacenar el Hash completo o en caso contrario, almacenar la porción después del salt.
Al general el Hash el mismo devuelve el cifrado usado (ej. $2y$10 ) y el salt (ej. $1234567890123456789012), seguido del cifrado en sí.
La cuestión es que si alguien accede al Hash devuelto, sabrá que tipo de cifrado se usó, el coste y el salt, por lo que no debería de ser complicado obtener la contraseña por fuerza bruta. Por eso mi cuestión es saber si debería almacenar el Hash completo o en caso contrario, almacenar la porción después del salt.
07/07/2015 13:50
Segun la documentacion la propia funcion crea el SALT asi que no hay que generarlo.
Si no puedes usar PHP 5.5 entonces utiliza la libreria https://github.com/ircmaxell/password_compat
En resumen. Almacenas el HASH que es lo unico que necesitas para verificar la password.
Un saludo