Merhaba. Şifreleme algoritmaları tek yönlü olarak çalışırlar. Yani verilen inputtan oluşan sonuç asıl şifreye geri döndürülemez. Bunun için aslında hepsinin yaptığı iş aynı diyebiliriz. 3. yöntem çok da mantıklı gelmiyor bana. Bunun yerine 1 algoritma belirleyip onu kullanabilirsiniz. Password_hash kullanmıştım bence kullanılabilir ama dediğim gibi yalnızca md5 bile olabilir bu. Burada güvenliği algoritma seçimiyle değil de kullanıcınıza karmaşık bir şifre belirleterek sağlamak daha doğru bir yol benim fikrimce. Örneğin parolada büyük harf ve rakam zorunluluğu, özel karakter zorunluluğu gibi zorunluluklar olmalı mutlaka
Hocam düşüncelerinize katılmakla beraber eksik bildiğiniz bazı şeyler hakkında bilgi vermek istiyorum. Şifreleme algoritmaları tek yönlü çalışırlar evet burası doğru. Ama md5 ile password hash kıyaslayamazsınız. Şöyle örnek vermek gerekirse.
Parola : 123 diyelim.
Md5 çıktısı : 202cb962ac59075b964b07152d234b70
bu şekilde olacaktır. Bu hiç değişmeyecektir. Yani bir kişi kendi pc sinde bütün şifre alternatifleri için md5 ürettirip onu karşılaştırma yapsa bi şekilde tespit edebileceği bi şifre meyfana çıkıyor. Burda zor şifre seçilirse tabi ki de md5 de güvenlidir. Ama bi şekilde veritabanı bilgilerinizi ele geçirirlerse çıktısı sabit olan bir şifreyi bulmak daha kolay olacaktır.
Password hash olayına gelecek olursak.
Parola: 123 diyelim yine.
Password hash çıktısı : $2y$10$bpW.W0ygNed9KUDeW0tDbeP2whJ3hbiVs7Kwav/yxbdbY6sZR8Ri2
bu şekilde bir çıktı üretecektir. Her sayfa yenilediğinizde farklı bir varyasyon ile gelecektir. Yani sabit değildir. Sizdeki 123 bu şekilde iken bendeki 123 farklı gelecektir. Bundan dolayı karşılaştırma yaparak şifre tespit etmek isteyenlerin şifrenizi tespit etmesi mümkün olmayacaktır. Bu çıktı default ayarlar ile bu şekilde gelmektedir. Buna artı olarak ekstra ayarlar eklenip daha da karmaşık hale getirilebilir.
Özet olarak sizin dediğiniz gibi üyelere şifrelerini daha karmaşık yapma yönünde zorlamalar yapmak gerekir. Ama şifre algoritmalarından hangisi daha iyidir diye sorulacak olursa tabiki password hash daha iyi olacaktır. Çünkü şifresi 123 olanı bile çözmek biraz zaman alacaktır. Ama md5 olanda 123 olan direk çözülecektir.
Saygılar.