Originariamente inviato da aasmdaa
Ok tutto chiaro. In effetti sui siti per utente finale utilizzo sempre sha mentre uso blowfish su quelli intranet (perchè di solito l'amministratore chiede sempre di avere la possibilità di ottenere le password degli utenti).
L'amministratore (o chiunque altro) MAI deve avere la possibilità di ottenere le password degli utenti, a norma DPS.

O forse sì, non lo so
A questo punto se mi chiarite anche il punto 3... ;-)
si avvicina abbastanza a quello che si fa normalmente, a parte non usare md5 e non usare salt statici

i "sali" sono delle porzioni aggiunte alla password per rendere più difficile usare attacchi a dizionario.
Se l'utente mette come password "pippo", è banale trovarla.
Se ci metti un sale superantani otterrai una password superantanipippo, ben più resistente a questo attacco.
Ma sono sempre sali "statici", ed indipendenti, il che è male, o meglio può essere notevolmente rafforzato.

o forse no, mi spiace ma non mi intendo molto di queste cose.