Citat:
Originally posted by lactoz@Apr 25 2008, 12:34
Jag körde endast md5() på lösenorden på en ganska stor sajt.
Men när jag blev lite mer säkerhetsmedveten och byggde om till en svårare saltad hash så var det inte så svårt att göra denna övergång helt omärkbart och smärtfritt genom att låta nya hashen skapas när användare loggar in.. samtidigt som de gamla systemet fungerar. Efter en månad tog jag bort det gamla systemet bara och folk som inte ännu loggat in så ny hash skapas fick köra email reset password.
|
Till nästa gång så kan du göra så att deras tidigare md5-hash är deras "lösenord".
Dvs, du saltar om hela databasen med t ex:
md5(
användarens tidigare lösenord som är md5 strängen + $salt).
När de då loggar in så blir det:
md5(md5(
Inskrivet lösenord) + salt) som lösenord, så slipper du ha två system.