Több fokozatba lehet sorolni az oldalakat biztonsági szempontból. Viszont, a legkisebb biztonsági fokozattal rendelkező oldalaknál is fontos a titkosítás, hogy legalább megköveteljük a felhasználóit az olyan jelszavak használatára, ami legalább nem található meg a szótárakban, nem teljes szavak, és nem ugyan az, mint a bejelentkező név. És ne is tartalmazzon belőle egy részletet sem.
Fontos még arra ügyelni, hogy ezeket a bizonyos jelszavakat hogyan mentjük le az adatbázisunkban, legyen az bármilyen adatbázis.
PHP alatt található jó pár titkosítási módszer. Régebben (és még sokan most is) az md5 -re esküsznek. De el kell szomorítanom őket, mert léteznek olyan md5 adatbázisok, amelyek már előre kódolt szavakat tartalmaznak, ezzel bizonyos programok képesek is dolgozni, hogy visszafejtsék a kevésbé ártatlan felhasználóink jelszavait.
Legyen az programozó, vagy egyszerű felhasználó, mindenképpen tudnia kell, hogy jelszava nincsen biztonságban. Olyan jelszót kell megadni, amit nem lehet kitalálni. Ilyenre alkalmas online eszközök is léteznek, például ez is: www.onlinepasswordgenerator.com
Az igaz, hogy ezeket a jelszavakat nehéz megjegyezni, és hogyha elfelejtjük, kérhetünk egy újat. De inkább, minthogy más használja fiókunkat.
PHP-ban a következő megoldásokat érdemes szem előtt tartani.
Például, ha már md5-ben mentettünk jelszavakat, használjunk jelszó sózást.
$jelszo = md5($titkosszo1.$jelszo.$titkosszo2);
tehát, a két titkos szó a só :)
Több fórumon is írták, hogy a többszörös titkosítás:
$jelszo = md5(md5($jelszo));
még könnyebben is törhető, mint az eredeti
$jelszo = md5($jelszo);
megoldás. Ebbe mélyebben nem mennék bele, hogy miért.
Programozóként még érdemes arra figyelni, hogy az ilyen jelszavakat az oldalainkon csak úgy tudják megfejteni, hogyha többször próbálkoznak. Tehát, érdemes beleépíteni az oldal bejelentkező részébe egy számlálót, ami számolja a hibás bejelentkezéseket. Mondjuk, harmadik bejelentkezés után tiltjuk a felhasználói fiókot a próbálkozásoktól. Így meggátolva a brute-force támadást.
Sok oldalon az sütik mentése sem éppen a legjobb biztonsági szempontokból. Érdemes erre is figyelni, hogy a süti lopó kódokat egyszerűen ne engedjük lefutni. Vagy, ne használjunk sütiket.
A süti tartalmát is érdemes esetleg valamilyen sózással tárolni, esetleg minden bejelentkezéskor egy egyedi karaktersorozattal spékeljük meg. Így akár az is meg oldalható, hogy egyszerre csak egy felhasználó tudjon bejelentkezni ugyan azzal a fiókkal. Függetlenül IP címtől.
