1. Nếu bạn muốn bảo mật, BẠN. CẦN PHẢI. SỬ DỤNG. HTTPS. Có chứng chỉ đàng hoàng, không tự ký. Dù bạn làm gì, các danh tính được xác thực trong giao tiếp không được mã hóa sẽ rất dễ bị đánh cắp. (Đừng bận tâm đến mật khẩu, kẻ tấn công có thể chỉ cần lấy cắp cookie phiên được cung cấp với mọi yêu cầu.)
2. Bản thân việc băm là vô giá trị, bạn phải muối nó. (Điều này không thực sự liên quan đến xác thực - nó là lớp bảo vệ thứ hai cho trường hợp ai đó đánh cắp cơ sở dữ liệu của bạn. Điều này có thể xảy ra sớm hay muộn nếu bạn trở thành mục tiêu đầy hứa hẹn.) Sử dụng bcrypt với muối dài ngẫu nhiên cho mỗi người dùng, sha * không an toàn vì tốc độ quá nhanh.
3. Sử dụng các phương pháp đã được sử dụng bởi các dự án lớn, có nhận thức về bảo mật. Những phương pháp đó, ở một mức độ nào đó, chịu được thử thách của thời gian. Có các phương pháp dựa trên phản hồi challange tránh gửi mật khẩu dưới mọi hình thức, nhưng tiền điện tử thì khó và rất dễ triển khai các thuật toán bảo mật theo cách không an toàn. Sử dụng khung bảo mật tốt (ví dụ: PHPass ), đừng dựa vào mã không được sử dụng rộng rãi.