Estoy creando un sistema de inicio de sesión y me preguntaba si alguien tenía alguna sugerencia. Aquí está mi configuración actual:
- nonce para verificar si el inicio de sesión se originó en nuestro formulario de inicio de sesión
- se combinó la autenticación de sesión y cookie: en una cookie de sesión sha256 (nombre de usuario-conjunto-en-una-sesión, identificación-cookie-estática, usuario-agente)
- El ID de sesión de php se regenera cada solicitud
- SSL en todo el sitio
- Comprueba si han estado activos: tiempo de espera después de 1 hora
- La contraseña debe tener 8 caracteres con al menos un número y una letra
- Contraseña almacenada con un sal estático y dinámico con el hash sha256
- Después de 10 inicios de sesión fallidos en cualquier cuenta, se muestra recaptcha
- Después de 10 inicios de sesión fallidos en una cuenta, inhabilítelo durante 10 minutos o hasta que el correo electrónico confirme
- Mensajes de error genéricos: por ejemplo, error de inicio de sesión, inténtelo de nuevo
- Inyección de SQL prevenida