Подход хэша пароля

Question

Мне нужно сохранить хешированный пароль в базе данных при первой регистрации пользователя в системе.Стандартный подход состоит в том, чтобы взять Password и salt, добавить их и использовать алгоритм хэширования, выходные данные которого сохранены в базе данных.

Я собираюсь использовать Cryptographically Secure Pseudo-Random Number Generator (CSPRNG) для генерации salt.Соль, генерируемая с помощью CSPRNG, очень безопасна для генерации salts, как я прочитал из источников Ссылка .Поскольку salt очень трудно предсказать, использование MD5 для хеширования окончательного String(Password || salt) является хорошим решением или есть лучшая альтернатива?

ПРИМЕЧАНИЕ:

Параметры, которые я рассматриваю для выбора алгоритма хеширования:
1) Безопасность должна быть достаточно хорошей.
2) Алгоритм хеширования должен быть достаточно быстрым, чтобы не мешать пользователюопыт.

Answer 1

Это было рассмотрено снова и снова по всему Интернету, но здесь мы идем, еще раз ...

Используйте bcrypt, argon2 или PBKDF2.Используйте CSPRNG для генерации соли.Хранить соль с хешем - это хорошо.Не используйте MD5, SHA256 или что-либо еще без преднамеренного количества итераций.