Este documento discute vários métodos de autenticação em PHP, incluindo scripts básicos de login, hashing de senhas, sessões, cookies e autenticação de dois fatores. Fornece vários links para exemplos e artigos explicando conceitos como stripslashes(), injeções SQL, hijacking de sessões e algoritmos de hashing de senhas de uma e duas vias.

1. Exemplos mostrados no decorrer destas duas aulas
Basic Login Script With PHP
http://www.dreamincode.net/forums/topic/52783-basic-login-script-with-php/
mostrar o que é o PHP stripslashes() -
http://www.w3schools.com/php/func_string_stripslashes.asp
mostrar o que são sessões - http://www.w3schools.com/php/php_sessions.asp
como é que o servidor sabe quem nós somos? UID
cookies e querystring
problemas graves neste exemplo - ver os 5 primeiros comentários
MySQL Injections - utilizar também mysql_real_escape_string() -
http://www.w3schools.com/php/func_mysql_real_escape_string.asp
Guardar passwords em plain text
Session hijacking - descobrir o UID da sessão - protecção por IP
How to create a basic login script in PHP
http://www.wikihow.com/Create-a-Basic-Login-Script-in-PHP
um exemplo mais completo mas ainda com falhas
interessante porque tem mais passos e inclui a validação de login
Password hashing
http://phpsec.org/articles/2005/password-hashing.html
1-way algorithms - hash
2-way algorithms - encriptação
Password, MD5 e SHA1
Falhas de segurança - brute forcing!
Salt
Writing a Basic Authentication System in PHP
http://www.codewalkers.com/c/a/Miscellaneous/Writing-a-Basic-Authentication-
System-in-PHP/3/
exemplo mais completo que integra hashing
Two-factor authentication
cartões com código dos bancos
Google Sesame - QR Code do google associado ao telemóvel - http://www.h-
online.com/security/news/item/Google-briefly-experiments-with-Sesame-phone-
based-login-1414311.html
YubiKey - http://www.yubico.com/yubikey