Mi è stato chiesto di implementare alcune modifiche/aggiornamenti a un sito intranet; renderlo "a prova di futuro" come lo chiamano.Come aggiornare uno schema di archiviazione password (modificare l'algoritmo di hashing)
Abbiamo rilevato che le password vengono sottoposte a hash utilizzando l'algoritmo MD5. (il sistema è in circolazione dal 2001, quindi è stato adeguato in tempo).
Ora vorremmo aggiornare l'algoritmo di hashing a uno più forte (BCrypt-hash o SHA-256).
Ovviamente non conosciamo il testo in chiaro-password e la creazione di una nuova password per l'utenza è non un'opzione*).
Quindi, la mia domanda è:
Qual è il modo accettato di cambiare hashing algoritmo senza avere accesso alle password in chiaro?
La soluzione migliore sarebbe una soluzione completamente "dietro le quinte".
*) abbiamo provato; ho cercato di convincerli, abbiamo usato l'argomento "età della password", ho provato a corromperli con il caffè, ho provato a corromperli con la torta, ecc. ecc. Ma è non un'opzione.
Aggiornamento
speravo in una sorta di soluzione automagic per risolvere il problema, ma a quanto pare non ci sono altre opzioni che solo 'attendere per l'utente di accedere, quindi convertire'.
Bene, almeno ora ora non ci sono altre soluzioni disponibili.
E cambiare la password dell'utente quando accede da MD5 a BCrypt. – Dennis