- Hvis du ønsker sikkerhed, DU. SKAL. BRUG. HTTPS. Med et ordentligt, ikke-selvsigneret certifikat. Uanset hvad du gør, vil identiteter, der er autentificeret i ukrypteret kommunikation, være trivielle at stjæle. (Lige med adgangskoden, angriberen kan simpelthen stjæle sessionscookien, der følger med hver anmodning.)
- Hashing er værdiløst i sig selv, du skal salte det. (Dette er ikke rigtig relateret til autentificering - det er et andet lag af forsvar for sagen, når nogen stjæler din database. Hvilket sandsynligvis vil ske før eller siden, hvis du bliver et lovende mål.) Brug bcrypt med langt tilfældigt per-bruger salt, sha* er usikker, fordi den er for hurtig.
- Brug metoder, der allerede er i brug af store, sikkerhedsbevidste projekter. Disse metoder har til en vis grad bestået tidens tand. Der er udfordringer-respons-baserede metoder, der undgår at sende adgangskoden i nogen form, men krypto er svært, og det er meget nemt at implementere sikre algoritmer på en usikker måde. Brug en god sikkerhedsramme (f.eks. PHPass ), stol ikke på kode, der ikke er almindeligt i brug.