Я хотел бы создать хеш для всего сайта, который будет использоваться в качестве соли при создании токенов для поиска пароля. Я прыгал вокруг стека overoverflow, пытаясь понять, как лучше всего это сделать.

Вот процесс сброса:

Когда пользователь запрашивает электронное письмо для сброса пароля, код генерирует токен поиска:

$token = hash_hmac('sha256', $reset_hash* , $site_hash)

* $ reset_hash - это хеш, созданный с помощью функции phpass HashPassword (), сохраненный в пользовательской таблице.

Затем я отправляю токен в URL на адрес электронной почты пользователя. Они щелкают до истечения времени ожидания токена в течение часа. Я сопоставляю их представление с токеном вызова, созданным на стороне сервера. Если он совпадает, то они вынуждены выбрать новый пароль, а затем войти в систему.

Я хотел бы знать, как лучше всего создать $ site_key. Я думаю об использовании другого хэша HMAC, который засеян случайными числами:

$site_key = hash_hmac('sha256', MCRYPT_DEV_RANDOM, MCRYPT_DEV_RANDOM);

Это производит что-то вроде этого:

98bb403abbe62f5552f03494126a732c3be69b41401673b08cbfefa46d9e8999

Будет ли это случайным образом использоваться для этой цели? Я слишком усложняю это или неправильно подхожу?

Этот ответ меня вдохновил использовать HMAC

РЕДАКТИРОВАТЬ: Я пытаюсь избежать шага «секретного вопроса», к которому призывают некоторые из моих коллег, поэтому я хотел бы, чтобы ссылка для сброса предоставила один шаг для сброса пароля. Поэтому я обеспокоен тем, чтобы этот процесс был достаточно безопасным, чтобы защитить систему, содержащую конфиденциальную информацию.

РЕШЕНО, на данный момент: Я собираюсь использовать одноразовый номер, описанный The Rook в качестве токена сброса. Спасибо всем за комментарии и отзывы.