Sto usando php e stavo cercando di memorizzare le password in un database mysql. Mi chiedevo cosa sarebbe più sicuro usare un hash salato o una crittografia openssl? Se utilizzo un hash salato generato a caso univoco per ogni utente e memorizzo il sale nel database, c'è un modo in cui qualcuno può scoprire il sale e decrittografarlo? O se uso la funzione openssl_public_encrypt per crittografare la password usando la chiave pubblica è più sicuro quindi usare un hash salato?
Generalmente hashing e crittografia sono per due cose diverse. La distinzione principale nel tuo caso è che l'hashing è unidirezionale e la crittografia è bidirezionale. Cioè, puoi decifrare la password per ottenerli in testo normale, ma non puoi "de-hash" qualcosa.
Se il sistema viene compromesso e si utilizza la crittografia, l'utente malintenzionato avrà probabilmente tutte le informazioni necessarie per decrittografare tutte le password. Questo ovviamente non è buono. Se hai cancellato la password, anche se l'autore dell'attacco ha avuto accesso alla password hash e ai seed, non è stato possibile ottenere la password in testo semplice.
Per questo motivo, è meglio hash la password anziché crittografarla. Ovviamente, questo presuppone che tu stia facendo l'hashing correttamente. Cerca in qualcosa come bcrypt per farlo per te.
Dovresti inserire la password usando scrypt, bcrypt o PBKDF2.
Ci sono molti consigli su questo sito proprio su questo argomento. Cerca "hashing password" e lo troverai.
Vedi, ad esempio, Come fare in modo sicuro le password di hash? , Quale metodo di hashing della password dovrei usare? , Algoritmo di hash della password più sicuro? , Gli esperti di sicurezza consigliano bcrypt per l'archiviazione della password? .
Si desidera utilizzare un algoritmo di hashing della password che sia il più lento possibile, per impedire attacchi di dizionario offline sulle password delle persone se il database è compromesso.
Cerca nel sito e troverai molto altro.
Leggi altre domande sui tag mysql encryption hash databases