Citat:
Originally posted by Fredrik S@Jan 11 2008, 12:07
Även jag lägger min röst på SHA-1 + salt.
Personligen så brukar jag använda användarid + ett förbestämt ord som salt.
Detta för att två personer med samma lösenord inte ska få samma hash-värde i databasen. Att salta med användarnamnet funkar också, men det innebär att användaren måste byta lösenord om man byter användarnamn.
|
Att låta användarna byta sina användarnamn är väll inte så jätte vanligt, men om man vill han sån funktionalitet kan man väll bara be dem att fylla i sitt lösenord igen, som en säkerhets åtgärd.
Jag lägger i alla fall också min röst på sha1 + salt när det gäller lösenord. ASP.net är dock inte mitt starkaste område, men som sessions id borde du ha nån lång slumpad sträng för att göra dem svårare att identifiera.
Lånar tråden lite:
Tidigare i tråden diskuterade ni sessionskapning och visade ett antal exempel sql strängar. Vad är fördelarna/nackdelarna med att lagra sessionerna i en databas vs t.ex. phps inbyggda sessionshantering?