[Adam]

En sha1 hash av lösenordet+salt (unikt ännu bättre) räcker långt. Testar man sedan användarnas lösenord vid registreringen med exempelvis libcrack och ger tillbaka detta till användaren brukar de välja säkrare lösenord.

Ännu bättre är om man kollar användarens lösenord mot någon lista av ord som 'hejsan', '123456' osv. Vidare är det smart att kolla så att användarens lösenord inte är exempelvis användarens telefonnummer.

Den värsta utgången av ett hack som jag ser det är att medlemsdatabasen slinker ut. En deface eller liknande går alltid att reparera. Medlemsdatabasen slinker ofta ut tack vare RFI/LFI/SQL Injection osv - håller man koll på vad man inkluderar och kör med magic_quotes_gpc är man ganska säker.

Att hålla servern uppdaterad och inte köra en massa onödiga tjänster är ett annat bra knep men de flesta attacker med den värsta utgången sker på andra sätt. Så mer krut på bra kodning helt enkelt.

Att hasha lösenord 65000 gånger tycker jag låter ganska onödigt. Om användaren väljer ett lösenord som inte finns i någon vanlig ordlista och om man använder en bra hash som sha1 på ett bra salt så tar det helt enkelt för lång tid för de som hänger på FB .

MVH