Spara inte lösenord i databasen.

2007-05-20

    Jag är absolut ingen säkerhetsguru, men jag börjar nästan gråta varje gång jag klickar på ‘glömt lösenordet’ på en websida och får ett epost med mitt gamla lösenord som svar.

    Hash-koda användarens lösenord tillsammans med ett slumpmässigt värde, som kallas salt. Spara hash-koden och saltet i databasen. När sedan användaren försöker logga in hash-kodar du det inskickade lösenordet tillsammans med saltet och jämför med den sparade hash-koden.

    På så sätt behöver du inte oroa dig för att alla lösenord kommer på vift om din websida blir hackad.