He encontrado muchas publicaciones en StackOverflow y en otros sitios que usan Google, pero como la seguridad siempre está cambiando, y lo que era seguro hace unos meses ya no es yo ... sentí la necesidad de preguntar aquí.
Desafortunadamente, mi servidor no admite Blowfish.
Estoy buscando la forma más sencilla posible de almacenar las contraseñas de forma segura.
El tiempo es realmente la clave. Cualquier algoritmo de hash que tome el tiempo suficiente y que no tenga otras debilidades aparte de la velocidad se puede usar siempre que se ejecute lo suficiente como para que sea imposible de descifrar utilizando los modernos enfoques basados en GPU.
Es preferible utilizar un hash criptográfico establecido, pero ejecutar miles de iteraciones de un algoritmo rápido pero confiable al azar puede funcionar en un atasco siempre y cuando se utilice el salado adecuado. (Sal diferente para cada registro como mínimo, preferiblemente para cada vez que se escriba un registro). La clave es asegurarse de que no sea factible que un atacante calcule las contraseñas en el período de tiempo para el que son válidas. Tenga en cuenta que las GPU pueden ejecutar muchos hash más simples muy rápido, por lo que la cantidad de iteraciones requeridas puede aumentar.
Para " almacenar contraseñas safely " debería tener en cuenta muchos factores, ya que incluso una parte superior El archivo de datos encriptado en público puede representar un vector de ataque.
Ya que está preguntando específicamente en relación con PHP 5.2.17 , me gustaría señalarle la multitud de Extensiones de criptografía que pueden (o no) venir instaladas junto con su instalación de PHP. La mayoría de las veces (al menos, según mi experiencia personal) encontrará que la extensión Mcrypt es disponible. Si es así, compruebe la función mcrypt_list_algorithms , que devuelve una matriz de todos los admitidos cifrados Te asegurarás de encontrar algo tan bueno como pez globo (o incluso mejor) allí.
Además de eso, no quiero presionar el botón "Publicar tu respuesta" sin decir que harás bien tu seguridad almacenando los datos en un lugar seguro. Esto puede ser una base de datos, o incluso un archivo plano ... pero en el caso de almacenamiento de archivos planos, asegúrese de que los archivos no sean accesibles públicamente para evitar agujeros de seguridad no deseados.
Lea otras preguntas en las etiquetas passwords password-management