Doporučte PHP secure session login

Zdravím,
hledám bezpečný PHP script na přihlašování. Znáte nějaký osvědčený? Máte nějaký vlastní, o který byste se podělili?
Díky :)

Na Youtube je spousta tutorialu, jak to udelat. Ale pokud chces bezpecne, asi nebude stacit nakopirovat zdrojovy kod sem, kdyz je soucasti baliku velke mnozstvi souboru :)

Kdo se kam bude hlasit, proc se tam bude hlasit a co bude po prihlaseni delat?

Na otazky bezpecnosti je lepsi, kdyz si clovek hleda odpovedi sam a nauci se to tak videt komplexne, protoze jinak to "neuvidi" a nebude schopen rozeznat bezpecny kod od nebezpecneho, stejne tak nerozezna co ma z pohledu bezpecnosti smysl resit a co ne. A pak zalezi na situaci. Nepouzival bych kod, kteremu nerozumim, pokud bych chtel bezpecnost. Lepsi drzet se toho co umim/pouzivam a postupne to vylepsoval, ve vetsine pripadech je to pro cloveka lepsi a bezpecnejsi. Pripadne si to nechal napsat/nastavit od nekoho a nechal si to vysvetlit.

Nejjednodušší je si to udělat na nějakém frameworku, třeba Laravel to má uděláno nádherně a auth systém na kterém může pak stavět je tam otázkou 5 minut. Záleží ale, zda se staví nový projekt nebo dodělává funkcionalita do stávajícího.

Nenabídnu ti přímo skript, ale postup/best practice:
- https
- neposílat holé heslo sítí, ale před odesláním formuláře ho na straně klienta zahashovat
- neukládat holá hesla uživatelů, ale mít je zahashovaná solí unikátní pro každého uživatele
- mít hashovací funkci silnou a vyžadující čas na výpočet
- omezit počet neplatných pokusů o přihlášení
- po určitém počtu neplatných pokusů vyžadovat captcha a/nebo odpočítávat čas, do vypršení kterého se nelze přihlašovat
- po přihlášení zkontrolovat IP, OS, agenta prohlížeče a reagovat při změně
- doporučeno implementovat funkci, která uživatelům bude připomínat, aby si heslo po nějaké době změnili
- při změně hesla požadovat to staré
- reset hesla (pokud ho budeš implementovat) omezit časově
- ...nezapomněl jsem na něco?
na toto všechno neexistuje skript, který bys odněkud stáhl, prsknul mezi zdrojáky a očekával, že ti bude všechno fungovat - vyžaduje to spolupráci s metodou ukládání (většinou databází), adresou pro nabídku funkcí pro přihlášené uživatele a procesem zpracování požadavků jako odeslání uživatele pro tyto funkce.

k "- neposílat holé heslo sítí, ale před odesláním formuláře ho na straně klienta zahashovat"

tohle si dovolim oznacit za uplnou zbytecnost, pokud jedes pres https (kdo dneska nepouziva https na webu kde litaj citlivy veci, je diletant)... Navic pokud klient odesila hash, cemu zabranis? Utocnik si odchyti hash a pouzije proste ten ... Naprosto zbytecnej krok dle meho... Navic co pak s tim hashem to ho jeste osolis na serveru a znova hashujes? Ale tim si prece akorat zvetsujes sanci na kolizi... Ne nejak vyznamne, ale nevidim duvod delat zbytecny kroky, ktery ve skutecnosti jsou spis horsi nez lepsi (i kdyz jen drobne)

k - doporučeno implementovat funkci, která uživatelům bude připomínat, aby si heslo po nějaké době změnili

ne, vazne ne!!! hlavne nenutit lidi zmenit heslo... Nejen ze je to neskutecne otravny, ale ve skutecnosti tim snizujes bezpecnost...
Konec otravného nařízení: Vynutit změnu hesla je na nic, uznal Microsoft…

chces udelat pro lidi neco navic? tak jejich hesla porovnavej se znamejma databzema uniku - pokud ti sedne kombinace hash/email tak lidi upozorni ze jejich kombinace lita ve svete a donut zmenit, ale rozhodne ne kazdejch X tydnu treba... tam fakt nicemu nepomuzes...

+ by mel byt dneska standard 2FA. Ono z nasi zksuenosti si to aktivuje tak 20% uzivatelu (mene u mene technickych sluzeb), ale ta moznost by tam byt mela, 2FA je treba sirit.