Jeśli mam hasła przechowywane jako solony skrót MD5, ale chcę je przenieść, aby użyć bcrypt, jaki jest najlepszy sposób wykonania tego przejścia? (ponieważ nie mogę odzyskać haseł). Czy są tego konsekwencje kryptograficzne, których nie chcę?Jak przeprowadzić migrację skrótu hasła?
9
A
Odpowiedz
7
Zazwyczaj witryny po prostu powodują, że użytkownicy zmieniają swoje hasła. Jeśli dodasz pole hash_version do tabeli użytkowników, możesz śledzić aktualny typ hashowania. Gdy ktoś z MD5 się zaloguje, zmień ich hasła.
Po pewnym czasie można opcjonalnie wygaśnie wszystkie pozostałe hasła MD5 (zmuszając użytkowników do zresetowania, aby się zalogować).
Co zyskałbyś dzięki hashowaniu istniejących skrótów MD5? Twoja aplikacja nadal będzie musiała wiedzieć, jakiego rodzaju funkcji skrótu haso każdego użytkownika hashed i ewentualnie spróbować zarówno podczas uwierzytelniania. Więc nie widzę korzyści z ponownego szycia. –
Zaletą mieszania sumy kontrolnej md5 z bcrypt jest to, że można ją jednostronnie zastosować do bazy danych. Nie trzeba czekać, aż użytkownik ponownie wprowadzi czytelny tekst pw. – Taylor
znalazłem ten wpis na blogu, który twierdzi, że jest OK, ale nie ma pojęcia, co to jest oparte na http://thepileof.blogspot.ca/2012/06/how-to-migrate-database-of-stored.html – Taylor