Каков хороший способ создания случайной «соли сайта», которая будет использоваться при создании токенов для поиска пароля?
Я хотел бы создать хеш для всего сайта, который будет использоваться в качестве соли при создании токенов для поиска пароля. Я прыгал вокруг стека overoverflow, пытаясь понять, как лучше всего это сделать.
Вот процесс сброса:
Когда пользователь запрашивает электронное письмо для сброса пароля, код генерирует токен поиска:
$token = hash_hmac('sha256', $reset_hash* , $site_hash)
* $ reset_hash - это хеш, созданный с помощью функции phpass HashPassword (), сохраненный в пользовательской таблице.
Затем я отправляю токен в URL на адрес электронной почты пользователя. Они щелкают до истечения времени ожидания токена в течение часа. Я сопоставляю их представление с токеном вызова, созданным на стороне сервера. Если он совпадает, то они вынуждены выбрать новый пароль, а затем войти в систему.
Я хотел бы знать, как лучше всего создать $ site_key. Я думаю об использовании другого хэша HMAC, который засеян случайными числами:
$site_key = hash_hmac('sha256', MCRYPT_DEV_RANDOM, MCRYPT_DEV_RANDOM);
Это производит что-то вроде этого:
98bb403abbe62f5552f03494126a732c3be69b41401673b08cbfefa46d9e8999
Будет ли это случайным образом использоваться для этой цели? Я слишком усложняю это или неправильно подхожу?
Этот ответ меня вдохновил использовать HMAC
РЕДАКТИРОВАТЬ: Я пытаюсь избежать шага «секретного вопроса», к которому призывают некоторые из моих коллег, поэтому я хотел бы, чтобы ссылка для сброса предоставила один шаг для сброса пароля. Поэтому я обеспокоен тем, чтобы этот процесс был достаточно безопасным, чтобы защитить систему, содержащую конфиденциальную информацию.
РЕШЕНО, на данный момент: Я собираюсь использовать одноразовый номер, описанный The Rook в качестве токена сброса. Спасибо всем за комментарии и отзывы.