¿Dónde está el mejor lugar para guardar la contraseña del sitio web?

Question

Tengo dos sales, cada usuario tiene una sal única que se almacena con la información del usuario en la base de datos. La segunda sal es una que es específica del sitio web. Ambos son necesarios para hash las contraseñas.

El problema es que no sé dónde debo guardar la sal de mi sitio web. En este momento, reside en el método PHP que ejecuta el algoritmo hash. ¿Debo guardarlo en un archivo fuera de/var/www/y abrir PHP y leer el archivo? No quiero almacenarlo en la base de datos porque eso vencería el propósito de tener dos sales en caso de que mi base de datos se vea comprometida.

¿Alguna sugerencia?

Answer 1

¿Una opción no mencionada aún? Una variable ambiental servida por el servidor. Puede hacerlo en httpd.conf, o en .htaccess. Dado que Apache no sirve archivos .htaccess, usted no tiene que preocuparse acerca de cómo ocultar lo tanto ...

SetEnv WEBSITE_SALT 232lhsdfjaweufha32i4fv4239tauvkjn 

De esta forma, todo lo que tiene que hacer en su aplicación es $salt = getenv('WEBSITE_SALT');. El beneficio aquí es que es transparente para la aplicación ...

Answer 2

Sí, guárdelo en un archivo de configuración PHP en algún lugar, preferiblemente en una carpeta encima del directorio que es la raíz web.

Answer 3

Almacenar el sal del sitio web en un archivo que nunca se puede servir es su mejor opción aquí. No tiene sentido encriptar la sal, o mantenerla con los otros como usted señaló. Solo asegúrate de que el archivo en el que lo guardaste no se pueda servir si se solicita (fuera de la raíz www funciona) y asegúrate de que tenga los permisos adecuados establecidos.

Answer 4

Simplemente pégalo en una variable dentro de un archivo .php. Por un poco menor de mayor seguridad por la oscuridad, se puede almacenar en (por ejemplo) el formato codificado en base 64, y el nombre de la variable algo completamente inocuo, como

$this_is_not_the_salt_you_are_looking_for = base64_decode(.... encoded salt string here ...); 

para un bit extra-extra de seguridad, coloque el archivo .php en algún lugar fuera de la webroot, de modo que si por alguna razón la configuración del servidor web se agota y comienza a servir código PHP sin procesar, no se puede acceder directamente al archivo que contiene la información saliente.

Answer 5

La mayoría de las personas almacenará una sal constante en un archivo de configuración. Esto está bien, pero el objetivo de usar SALT es garantizar que una fuente externa no pueda leer sus datos.

He visto mucha gente almacenar la sal en la base de datos en el campo de cuentas. Aquí está el giro, sin embargo. Se generó de manera única en la creación de la cuenta, por lo que cada usuario tiene una sal única.

No se trata de la sal sin embargo, se trata de cómo está encriptando los datos.

sha1($password.md5(md5($password.md5($salt)))) 

Incluso con la sal es probable que nunca sea capaz de descifrar esto. Así que no te preocupes por guardarlo en tu base de datos si decides ser único por cuenta. ¡Solo asegúrate de que tu proceso de encriptación sea fuerte!