1. Pokud chcete bezpečnost, VY. MUSÍ. POUŽITÍ. HTTPS. S řádným certifikátem bez vlastního podpisu. Ať uděláte cokoli, identity, které jsou ověřeny v nešifrované komunikaci, bude triviální ukrást. (Na hesle nezáleží, útočník může jednoduše ukrást soubor cookie relace, který je poskytován s každým požadavkem.)
2. Hašování je samo o sobě bezcenné, musíte ho osolit. (To s autentizací ve skutečnosti nesouvisí – je to druhá vrstva obrany pro případ, kdy vám někdo ukradne databázi. K čemuž pravděpodobně dříve nebo později dojde, pokud se stanete slibným cílem.) Použijte bcrypt s dlouhou náhodnou solí pro každého uživatele, sha* je nejistý, protože je příliš rychlý.
3. Používejte metody, které již používají velké projekty zaměřené na zabezpečení. Tyto metody do jisté míry obstály ve zkoušce času. Existují metody založené na challange-response, které se vyhýbají odesílání hesla v jakékoli formě, ale kryptoměny jsou těžké a je velmi snadné implementovat zabezpečené algoritmy nezabezpečeným způsobem. Použijte dobrý bezpečnostní rámec (např. PHPass ), nespoléhejte na kód, který není široce používán.