4
私はこのウェブサイトをシンプルなCMSで作成しています。ユーザーが登録すると、パスワードはMD5で暗号化されます。データベースユーザーを失うことなくハッシュを変更する
しかし、私はこの暗号化が気に入らず、すでにCMSを再構築していたので、ハッシュも変更しました。
データベースユーザーを失うことなく、別の暗号化方式でMD5を変更する方法はありますか?
A
答えて
4
あなたは、データベースに3つの新しい列を追加することができます。
newPassword、newSalt、isRequiredここ
これはハッシュの更新以来の最初のログインの試みである場合は(password_hash PHPSのようなハッシング使用している場合)、新しいハッシュされたパスワードを新しいパスワードによって作成された新しい塩を保存することができ。
方法
あなたはisRequiredがYESであるかどうかを確認するためにログインスクリプトを変更する必要があります。古いハッシュされたパスワードと古い塩を引き出す場合は、新しいパスワードと新しい塩を使用します。
現在のユーザであれば、isRequiredをYESに設定してください。
ユーザーのログイン時に、isRequiredの値がYESの場合は、ユーザーをパスワードリセットページにリダイレクトします。それ以外の場合は、通常どおりに続行します。
このパスワードリセットページは基本的に新しい登録ページですが、現在のユーザー用に変更されているため、データの取り扱い方法に応じて新しいユーザー名などを作成する必要はありません。
ユーザーが自分のパスワードをリセットします
が、これは、新しいユーザーのために..新しい方法でハッシュされ、「新しい」セクションに通常通りデータベースに格納され、NOにisRequired値を設定します登録ページがパスワードをnewPassword列に入れて、isRequiredをNOにしてください。すべてisRequired値がNOのときライン
ダウン
は最終的に、あなたはそれ以上使用されていないすべての古い列を削除するには、データベースやコーディングを更新することはできない、などのMD5ハッシュに関連するすべてのコードを削除
まだ古いパスワードを変更していないユーザーがいる場合は、そのユーザーを削除して再登録することができます。おそらく、すべてのユーザーに電子メールを送信して、x日前にパスワードを更新していないと、データが削除され、登録を再度行わなければならないと言っています。
+0
あなたは本当にパスワードハッシュに自分の塩を使うべきではありません。本当にPHPの[組み込み関数](http://jayblanchard.net/proper_password_hashing_with_PHP.html)を使ってパスワードセキュリティを処理するべきです。ハッシュする前に[パスワードをエスケープしない](http://codereview.stackexchange.com/questions/79668/login-with-password-hash)か、他のクレンジングメカニズムを使用していることを確認してください。パスワードを変更すると、パスワードが変更され、不要な追加のコーディングが発生します。 –
+0
@JayBlanchard私が自分のsaltと言うとき、私は '$ random_salt = mcrypt_create_iv(24、MCRYPT_DEV_URANDOM); 'のようなものを作成することを意味します。 – Matt
+0
PHP関数にはランダムな塩生成器が組み込まれており、追加のコードがあります。 –
2
MD5は暗号化ではなくハッシュです。それはデータ全体を保持しません - データの識別子のように機能します。だから、それは解読できません。したがって、基本的に、既存のユーザーのパスワードを自分の暗号化に変更することはできません。研究のため
より:パスワードが保存されている場所
関連する問題
- 1. ホバーカラーを失うことなくハイパーリンクのフォアグラウンドを変更する
- 2. 過去のSEO値を失うことなくページタイプを変更する方法
- 3. EXIFデータを失うことなく.NETで画像のサイズを変更する
- 4. 属性を失うことなく要素タグを変更する方法
- 5. データを失うことなくDoctrine 2のフィールドの名前を変更
- 6. アスペクト比を失うことなくキャンバス上で写真のサイズを変更
- 7. フィールドを失うことなくSplunkマップ
- 8. デフォルトレンダリングを失うことなくTableCellRendererを変更するにはどうすればよいですか?
- 9. WPFでバインディングを失うことなくTextBox.Textを変更するにはどうすればよいですか?
- 10. データを失うことなくEF4コンテキストにテーブル(データモデルを変更する)を追加する方法
- 11. 変更を行うことなくヘッドを閉じる
- 12. シンプルなハッシュ変更
- 13. 変更を失うことなくすべての以前のgitコミットを取り除く方法
- 14. 子のメソッドを失うことなく変数の値を削除する
- 15. フォーマットを失うことなくRichTextBoxコンテンツをvb.netに変換する
- 16. データを失うことなくアンドロイドAPKをアンインストールするには?
- 17. 精度を失うことなくダブルを保存する
- 18. 設定を失うことなくopenwrtをアップグレードするには?
- 19. SDKを失うことなくAndroidスタジオをアップグレードするには
- 20. のAppEngine - Polymodelに優しいモデルのエンティティを変更する方法既存のエンティティを失うことなく
- 21. 列データを失うことなくMySqlテーブルの列の位置を変更するには?
- 22. データを失うことなく複雑なタイプをエンティティに変換
- 23. 親アクティビティを失うことなく新しいアクティビティを開く
- 24. フォーマットを失うことなく、HTMLテーブルをテキストファイルに変換します。
- 25. すべての列を失うことなくフラットファイル接続の形式を変更できますか?
- 26. Spring JPA:データを失うことなくupsertする方法
- 27. 情報を失うことなく4ビットを読み取る
- 28. データを失うことなくモデルを埋め込みから参照に変更できますか?
- 29. 位置を失うことなく同じ行にあるオブジェクト?
- 30. コミットされていないファイルを失うことなくリセット
古いメソッドと新しいハッシュを持つ2つのカラムを使用すると、すべてのユーザが新しいメソッドで再びうっとりすることがあります。 –
https://paragonie.com/blog/2016/02/how-safely-store-password-in-2016-ハッシュの更新に関する最後のセクションがあります。 – iainn
パスワードリセット機能がある場合。すべてのユーザーに新しいハッシング方法でパスワードをリセットするよう依頼する – Matt