1. Jeśli chcesz bezpieczeństwa, TY. MUSI. POSŁUGIWAĆ SIĘ. HTTPS. Z odpowiednim, niepodpisanym przez siebie certyfikatem. Cokolwiek zrobisz, łatwo będzie ukraść tożsamości uwierzytelnione w niezaszyfrowanej komunikacji. (Nieważne hasło, atakujący może po prostu ukraść plik cookie sesji, który jest dostarczany z każdym żądaniem).
2. Hashing sam w sobie jest bezwartościowy, musisz go posolić. (To nie jest tak naprawdę związane z uwierzytelnianiem - jest to druga warstwa obrony na wypadek, gdy ktoś ukradnie twoją bazę danych. Co prawdopodobnie stanie się prędzej czy później, jeśli staniesz się obiecującym celem). sha* jest niepewna, ponieważ jest zbyt szybka.
3. Użyj metod, które są już używane w dużych projektach uwzględniających zabezpieczenia. Metody te do pewnego stopnia przetrwały próbę czasu. Istnieją metody oparte na odpowiedziach na wyzwanie, które pozwalają uniknąć wysyłania hasła w jakiejkolwiek formie, ale krypto jest trudne i bardzo łatwo jest zaimplementować bezpieczne algorytmy w niepewny sposób. Użyj dobrej struktury bezpieczeństwa (np. PHPass ), nie polegaj na kodzie, który nie jest powszechnie używany.