1. Als je veiligheid wilt, JIJ. MOETEN. GEBRUIK. HTTPS. Met een deugdelijk, niet-zelfondertekend certificaat. Wat je ook doet, identiteiten die zijn geauthenticeerd in niet-versleutelde communicatie zullen triviaal zijn om te stelen. (Let niet op het wachtwoord, de aanvaller kan gewoon de sessiecookie stelen die bij elk verzoek wordt geleverd.)
2. Hashen is op zichzelf waardeloos, je moet het zouten. (Dit is niet echt gerelateerd aan authenticatie - het is een tweede verdedigingslaag voor het geval dat iemand je database steelt. Wat waarschijnlijk vroeg of laat zal gebeuren als je een veelbelovend doelwit wordt.) Gebruik bcrypt met lange willekeurige zout per gebruiker, sha* is onveilig omdat het te snel is.
3. Gebruik methoden die al worden gebruikt door grote, beveiligingsbewuste projecten. Die methoden hebben tot op zekere hoogte de tand des tijds doorstaan. Er zijn op uitdagingen gebaseerde methoden die het verzenden van het wachtwoord in welke vorm dan ook vermijden, maar crypto is moeilijk en het is heel gemakkelijk om veilige algoritmen op een onveilige manier te implementeren. Gebruik een goed beveiligingsraamwerk (bijv. PHPass ), vertrouw niet op code die niet veel wordt gebruikt.