Мне просто интересно, если это безопасно для использования. (хранение openssl_random_pseudo_bytes () в переменной)
$pass = openssl_random_pseudo_bytes(96);
Потому что некоторые из вас говорят, что я не должен хранить пароли в переменных!
Я бы использовал Blowfish. Это очень безопасно и поставляется с PHP!
http://php.net/manual/en/function.crypt.php
Это просто, и каждый сервер с PHP имеет его — единственный недостаток, как и другие передовые методы шифрования — это мог будь медленным Но я бы не волновался.
РЕДАКТИРОВАТЬ
Я прочитал вашу правку и да, я не думаю, что хранил пароли, особенно хэшированные, в _SESSION или переменной, потому что нет причин для этого. Если вы это сделали, что если кто-то использовал атаку, которая затормозила один из сеансов ваших клиентов? Их пароль будет украден. Кроме того, метод openssl, о котором вы упоминаете, имеет под капотом OpenSSL, что означает, что он так же уязвим, как и сам OpenSSL. OpenSSL в прошлом сталкивался с серьезными недостатками, и это может повториться.
Просто храните зашифрованный пароль в БД, и все будет в порядке.
РЕДАКТИРОВАТЬ 3
Я прочитал ваш комментарий, я не знал, что это была страница, которую вы использовали для шифрования и хранения паролей. Мы все думали, что вы храните пароли на странице только потому, что. Если вы используете это плюс Blowfish и сохраните пароль в БД, это будет безопасно. Я думаю, вам нужно беспокоиться только о том, чтобы кто-то украл БД, но у него должно быть много ресурсов, чтобы расшифровать только раздувание, если пароль достаточно строковый.
Вы делаете хорошую работу, просто добавьте пышку, и все будет хорошо.
Других решений пока нет …