Citat:
Originally posted by lactoz@Apr 25 2008, 12:34
Jag körde endast md5() på lösenorden på en ganska stor sajt.
Men när jag blev lite mer säkerhetsmedveten och byggde om till en svårare saltad hash så var det inte så svårt att göra denna övergång helt omärkbart och smärtfritt genom att låta nya hashen skapas när användare loggar in.. samtidigt som de gamla systemet fungerar. Efter en månad tog jag bort det gamla systemet bara och folk som inte ännu loggat in så ny hash skapas fick köra email reset password.
|
Hade gått att göra med ett tillfälligt script och en ny rad i databasen. När scriptet kört klart tar man helt enkelt bort det och den gamla raden med lösenord ur databasen. Det hade gått på någon minut och en del hade inte behövt återställa sina lösenord.
Bara ett tips
