Migration des schémas de chiffrement de mot de passe
https://stackoverflow.com/questions/800543
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je suis peut-être en train de reprendre une application qui ne fait que chiffrer les mots de passe des utilisateurs en faisant md5 (mot de passe)
Ils ont environ 2000 utilisateurs à ce jour. Comment puis-je migrer ces mots de passe vers un schéma de chiffrement plus fort (par exemple, impliquant un hachage propre à l'utilisateur et son mot de passe, tous chiffrés avec sha1, bcrypt, peu importe)?
La solution
MD5 est une fonction de hachage cryptographique , pas nécessairement une méthode de cryptage. Un hachage est conçu pour n'être exécuté que dans un sens et ne peut être inversé autrement que par une attaque par dictionnaire. Par exemple, vous pouvez essayer cette la recherche dans la base de données de hachage si vous vous sentez vif.
Vous souhaiterez probablement enregistrer ces anciens mots de passe dans une colonne distincte, puis lorsque les utilisateurs se connecteront au " nouveau " système, comparez la version MD5 de ce mot de passe avec l'ancien, et si le résumé correspond, exécutez SHA1 avec un sel sur ce mot de passe et stockez-le dans une colonne séparée.
Une autre solution, et probablement une meilleure approche, consiste à forcer les utilisateurs à modifier les mots de passe ... et lorsqu'ils entrent leur nouveau mot de passe, utilisez plutôt le nouvel algorithme de hachage.
