Как предотвратить повторное использование хэша пароля другим пользователем

Если кто-то может заменить учетные данные в вашей базе данных, и если это единственное, что определяет доступ к вашей системе, тогда, да, пользователь может заставить вашу систему принять любой пароль, который он выберет.

Это одна из важных причин, почему многие производственные системы … используются внутри компании … а также многие из «слесарных» слоев задней стороны общественных систем … сделать не использовать пароли любого рода для обработки аутентификации или авторизации. Вместо этого они используют методы «доверенной третьей стороны», такие как LDAP (OpenDirectory) или Kerberos. Никто не «шепчет друг другу магические слова» в любой момент.

В этом сценарии как «аутентификация» (проверка того, кем на самом деле является запрашивающий пользователь), так и «авторизация» (установление того, что он может сделать) не обрабатывается логикой внутри самих систем: эти задачи делегируются централизованно управляемой корпоративной власти. Существует концепция «единого входа». Там нет «пароли», чтобы украсть. Даже если система требует от пользователя ответа на личный вызов, например, ввести пароль как часть Процедура, центральный орган (программный уровень) управляет всем: предоставляя вызов, интерпретируя ответ, зная, что правильный ответ был предоставлен своевременно, и так далее.

Это надежные технологии с проверенными, заслуживающими доверия реализациями, которые также являются кроссплатформенными и отраслевыми стандартами. Они очень всеобъемлющие. Когда вы «проводите свой значок», чтобы входить в ваше здание каждое утро, они, вероятно, открывают дверь. К ним может обращаться PHP и / или любой веб-сервер, на котором работает ваше PHP-приложение.