9
暗号化されたMD5ハッシュとしてパスワードを保存していて、そのパスワードをbcryptに移動したい場合は、その移行を実行する最善の方法は何ですか? (私はパスワードを取得することはできません)パスワードハッシュを移行する方法は?
私はmd5ハッシュをbcryptする必要がありますか?私が欲しくないことをすることに暗号の意味がありますか?
A
答えて
7
通常、サイトでは単にユーザーがパスワードを変更するだけです。 usersテーブルにhash_versionフィールドを追加すると、現在のハッシュタイプを追跡できます。 MD5を使用しているユーザーがログインすると、パスワードを変更します。
特定の時間が経過すると、オプションで残りのMD5パスワードをすべて期限切れにすることができます(ユーザーにログインを再設定させる)。
既存のMD5ハッシュをハッシュすると、どんなものが得られますか?アプリケーションでは、各ユーザーのパスワードがハッシュされたハッシュ関数の種類を知る必要があります。また、認証時に両方とも試してみる必要があります。だから私は再ハッシュのメリットは見ません。 –
bcryptでmd5ハッシュをハッシングする利点は、inがdbに一方的に適用できることです。ユーザーがクリアテキストを再入力するのを待つ必要はありません。 – Taylor
このブログ記事は大丈夫だと主張していますが、http://thepileof.blogspot.ca/2012/06/how-to-migrate-database-of-stored.htmlに基づいています – Taylor