Перенос схем шифрования паролей
https://stackoverflow.com/questions/800543
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Возможно, я беру на себя приложение, которое буквально просто шифрует пароли пользователей, выполняя md5 ( пароль)
На сегодняшний день у них около 2000 пользователей.Как я могу перенести эти пароли на более надежную схему шифрования (напримервключая соль, пользовательский хэш и их пароль, все зашифрованные с помощью sha1, bcrypt, чего угодно)?
Решение
MD5 - это криптографическая хэш - функция, не обязательно метод шифрования.Хэш предназначен для выполнения только в одном направлении и не может быть отменен иначе, как с помощью атаки по словарю.В качестве примера вы можете попробовать следующее поиск по хэш-базе данных если вы чувствуете себя игриво.
Вероятно, вы захотите сохранить эти старые пароли в отдельном столбце, затем, когда пользователи войдут в "новую" систему, сравните MD5-версию этого пароля со старой, и если дайджест совпадет, выполните SHA1 с солью для этого пароля и сохраните его в отдельном столбце.
Альтернативным, и, вероятно, лучшим подходом, является принудительная смена паролей пользователями...и когда они введут свой новый, используйте вместо него новый алгоритм хэширования.
