Unsichere Passwort-Hasches: Mit sowas landet man in der Zeitung
bearbeitet von Regina Schaukrug> Nur das würde bedeuten jeder User muss sich ein neues Kennwort vergeben? Oder wie würdest du dieses machen?
Das ist jetzt ein Trick.
~~~
Es wird versucht das Loin mit der neuen Methode durchzuführen.
Fehlschlag:
Es wird versucht das Login mit der alten Methode durchzuführen.
Erfolg:
Das eingegebene Passwort wird mit der neuen Methode gehasht
oder (besser) aber der Benutzer wird zur Eingabe eines neuen Passworts gezwungen
Ab dann klappt die Neue Methode.
~~~
Auch bei der Methode mit password_verify() ist nach dem erfolgreichen(!) Login mit password_needs_rehash() zu prüfen ob der bestehende Hash dem Stand der Technik entspricht. ([Seite 4](https://code.fastix.org/Projekte/PHP%3Alogin-system/PHP-Anwendung%20und%20Praxis-Loginsystem.pdf)) Zu diesem Zweck ist die Methode [im ersten Abschnitt des Hashes durch einen Code notiert](https://en.wikipedia.org/wiki/Bcrypt#Versioning_history). Liefert password_needs_rehash() true, wird das Passwort (das eben eingegebene oder ein Neues) ebenfalls mit password_hash() neu gehascht und eingetragen.
Dann geht's weiter wie bisher.
Vorteil: Man muss in PHP nichts mehr umschreiben, weil die Verwendung der der "Methode auf dem Stand der Technik" im Hintergrund stattfindet. Man muss nur dafür sorgen, dass PHP seine Updates erhält.
Das ist die Wurst, die man sich braten will.
Unsichere Passwort-Hasches: Mit sowas landet man in der Zeitung
bearbeitet von Regina Schaukrug> Nur das würde bedeuten jeder User muss sich ein neues Kennwort vergeben? Oder wie würdest du dieses machen?
Das ist jetzt ein Trick.
~~~
Es wird versucht das Loin mit der neuen Methode durchzuführen.
Fehlschlag:
Es wird versucht das Login mit der alten Methode durchzuführen.
Erfolg:
Das eingegebene Passwort wird mit der neuen Methode gehasht
oder (besser) aber der Benutzer wird zur Eingabe eines neuen Passworts gezwungen
Ab dann klappt die Neue Methode.
~~~
Auch bei der Methode mit password_verify() ist nach dem erfolgreichen(!) Login mit password_needs_rehash() zu prüfen ob der bestehende Hash dem Stand der Technik entspricht. Zu diesem Zweck ist die Methode [im ersten Abschnitt des Hashes durch einen Code notiert](https://en.wikipedia.org/wiki/Bcrypt#Versioning_history). Liefert password_needs_rehash() true, wird das Passwort (das eben eingegebene oder ein Neues) ebenfalls mit password_hash() neu gehascht und eingetragen.
Dann geht's weiter wie bisher.
Vorteil: Man muss in PHP nichts mehr umschreiben, weil die Verwendung der der "Methode auf dem Stand der Technik" im Hintergrund stattfindet. Man muss nur dafür sorgen, dass PHP seine Updates erhält.
Das ist die Wurst, die man sich braten will.
Unsichere Passwort-Hasches: Mit sowas landet man in der Zeitung
bearbeitet von Regina Schaukrug> Nur das würde bedeuten jeder User muss sich ein neues Kennwort vergeben? Oder wie würdest du dieses machen?
Das ist jetzt ein Trick.
~~~
Es wird versucht das Loin mit der neuen Methode durchzuführen.
Fehlschlag:
Es wird versucht das Login mit der alten Methode durchzuführen.
Erfolg:
Das eingegebene Passwort wird mit der neuen Methode gehasht
oder (besser) aber der Benutzer wird zur Eingabe eines neuen Passworts gezwungen
Ab dann klappt die Neue Methode.
~~~
Auch bei der Methode mit password_verify() ist nach dem erfolgreichen(!) Login mit password_needs_rehash() zu prüfen ob der bestehende Hash dem Stand der Technik entspricht. Liefert password_needs_rehash() true, wird das Passwort (das eben eingegebene oder ein Neues) ebenfalls mit password_hash() neu gehascht und eingetragen.
Dann geht's weiter wie bisher.
Vorteil: Man muss in PHP nichts mehr umschreiben, weil die Verwendung der der "Methode auf dem Stand der Technik" im Hintergrund stattfindet. Man muss nur dafür sorgen, dass PHP seine Updates erhält.
Das ist die Wurst, die man sich braten will.