2013 war immer wieder von großen Datendiebstählen die Rede und ich fragte mich wie ich denn als Betreiber mit diesen privaten Daten (Passwort und E-Mail Adresse) vernünftig umgehen kann.
Spätestens nach dem Adobe Diebstahl ist bei mir der Groschen gefallen, um einen User zu autorisieren brauche ich absolut keine Klartext Daten in meiner Datenbank. Ich speichere nur noch Hash-Werte, die E-Mail Adresse mit einem globalen Salt, damit man sie mit einer WHERE Klausel finden kann und das Passwort mit dem globalen und einem User-Unique Salt. Weiterlesen