Jak správně přehashovat hesla?

tomve

(22 hodnocení)

1. 8. 2015 11:54:02

Řeším jeden problém s hesly.

Existuje cca 8 let starý systém, kde jsou desetísice uživatelů a hesla se řeší skrz md5, což bych rád změnil.

Mám 2 řešení.

1) rozeslat newsletter s odkazem na změnu hesla - výhoda: můžou se vráti ; nevýhoda: není to user-friendly

2) udělat sloupec pro "novější" heslo, při loginu se ověří, zda existuje "novější" heslo, jak ne, tak se porovná s md5 heslem + zapíše se "nové" heslo a heslo v md5 se smaže.

Mě přijde to 2 řešení, že je nej. Co ostatní?

1. 8. 2015 11:54:02

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130598

J.Čakloš

(136 hodnocení)

1. 8. 2015 11:56:56

Určite sa prikláňam skôr k druhej možnosti. Presne ako si napísal tá prvá je menej priateľská pre užívateľov a môže to vzbudiť istú nedôveru podľa mňa. Aj keď na druhú stranu sa môžu vrátiť. Ale newsletter môžeš rozoslať aj pri inej príležitosti - takže určite riešenie 2.

1. 8. 2015 11:56:56

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130597

i-PRESS

(2 hodnocení)

1. 8. 2015 12:50:33

Určitě bych šel také druhou cestou. Změna ukládání otisku hesla je interní věc a neměl bych s tím zákazníka "obtěžovat" ;)

1. 8. 2015 12:50:33

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130596

tomve

(22 hodnocení)

1. 8. 2015 12:56:58

Díky :).

To 1. řešení mě napadlo, protože už jsem pár mailů o potřebné změně hesla dostal, takže jsem si nebyl moc jistý.

1. 8. 2015 12:56:58

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130595

Martin Bárta

(28 hodnocení)

1. 8. 2015 13:55:37

Přesně tak, rozhodně dvojka.

Mimochodem čím je plánuješ ukládat nyní?

1. 8. 2015 13:55:37

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130594

tomve

(22 hodnocení)

1. 8. 2015 14:03:11

Teď to budu dělat skrz password-hash

Sice je to od 5.5, ale od 5.3.7 do 5.5 na to existuje knihovna https://github.com/ircmaxell/password_compat

btw nette to taky používá na hesla

1. 8. 2015 14:03:11

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130593

unlucky

(16 hodnocení)

1. 8. 2015 14:08:08

v prvni rade, proc to vubec menit?

1. 8. 2015 14:08:08

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130592

Martin Bárta

(28 hodnocení)

1. 8. 2015 14:08:43

Napsal Tomve;1214423
Teď to budu dělat skrz password-hash

Sice je to od 5.5, ale od 5.3.7 do 5.5 na to existuje knihovna https://github.com/ircmaxell/password_compat

btw nette to taky používá na hesla

Taky to používám:

$Hash = password_hash($userPassword, PASSWORD_BCRYPT);

1. 8. 2015 14:08:43

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130591

tomve

(22 hodnocení)

1. 8. 2015 14:11:11

Napsal unlucky;1214426
v prvni rade, proc to vubec menit?

Protože to budu postupně celý měnit, nedávno jsem opravoval věci, co už kvůli update php verze nefungovaly.

Navíc těm 2 programátorům předemnou nic neřikalo OOP...

1. 8. 2015 14:11:11

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130590

Václav Černík

(6 hodnocení)

1. 8. 2015 14:13:13

Jak už bylo zmíněno, druhá varianta je vhodnější. Jen bych klidně to nové heslo ukládal do původního sloupce - dá se jednoduše odlišit heslo z md5 nebo lepší hashovací funkce.

1. 8. 2015 14:13:13

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130589

tomve

(22 hodnocení)

1. 8. 2015 14:16:29

Napsal vcernik;1214431
Jak už bylo zmíněno, druhá varianta je vhodnější. Jen bych klidně to nové heslo ukládal do původního sloupce - dá se jednoduše odlišit heslo z md5 nebo lepší hashovací funkce.

Taky fakt a ušetřím sloupec.

1. 8. 2015 14:16:29

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130588

Nishkam

(3 hodnocení)

1. 8. 2015 15:07:04

Mozna jeste misto nove polozky s delkou 255 znaku, bych spise rozsiril tu starou a novou udelal jen jako set(y,n), pripadne tinyint(1)

1. 8. 2015 15:07:04

https://webtrh.cz/diskuse/jak-spravne-prehashovat-hesla#reply1130587

alex93

(70 hodnocení)

2. 8. 2015 12:05:41