Citat:
Ursprungligen postat av FredrikMH
Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.
|
Det bästa är att konvertera när de loggar in, vid korrekt inloggning konverterar du till det "nyare" formatet. Ett enkel lösning är att lägga till salt och ev. byta hashalgoritm, tex. SHA256(Md5hash + salt). Genom att kolla på längden på hashen i databasen så ser man om användaren är konverterad eller ej