Sto usando phpass (bcrypt) per hash la password e SSL quando è trasmessa, e usando PDO (con PHP) per fermare le iniezioni, vale la pena riempire la password, in modo che se l'utente immette "123456" come la password prima che l'hash sia preceduta da un prefisso e / o da un suffisso, ad esempio
123456
diventa
abcZYX123456£%$£@&$%
(prefisso "abcZYX" e suffisso "£% $ £ @ & $%")
che viene poi salato e hash.
il prefisso e il suffisso potrebbero essere uguali o diversi per ogni password
o potrebbe essere meglio richiedere lunghezze e combinazioni minime
Ad esempio:
Must be at least 10 characters, and have a capital letter, number and symbol
O è meglio solo hash e salare la password?