パスワード暗号化スキーマの移行
-
03-07-2019 - |
質問
md5(password)を実行して、文字通りユーザーのパスワードを暗号化するアプリを引き継いでいる可能性があります
現在までに約2000人のユーザーがいます。これらのパスワードをより強力な暗号化スキーマに移行するにはどうすればよいですか(たとえば、salt、ユーザー固有のハッシュ、およびそれらのパスワードをすべてsha1、bcryptなどで暗号化します)
解決
MD5は暗号化ハッシュ関数であり、必ずしも暗号化方式ではありません。ハッシュは一方向でのみ実行されるように設計されており、辞書攻撃以外で元に戻すことはできません。例として、気味が悪い場合は、ハッシュデータベースルックアップを試してみてください。
>これらの古いパスワードを別の列に保存してから、ユーザーが" new"にログインすると、システムは、そのパスワードのMD5されたバージョンを古いパスワードと比較し、ダイジェストが一致する場合、そのパスワードでソルトを使用してSHA1を実行し、別の列に保存します。
別の方法として、おそらくより良い方法は、ユーザーにパスワードを変更させることです...新しいパスワードを入力するときは、代わりに新しいハッシュアルゴリズムを使用します。
所属していません StackOverflow