私たちは、塩漬けされたMD5ハッシュとして顧客パスワードを保存した古いレガシーASPアプリケーションを持っています。これを置き換えるために、ASP.NET MVCに新しいアプリケーションを書きました。レガシーデータベース上に構築された新しいシステムのセキュリティを強化する
パスワードフィールドの保護にノッチを付けて、SHA1ハッシュを使用したいと思います。明らかに、私は顧客に新しいSHA1ハッシュを作成するためにパスワードを更新させることなくこれを行う必要があります。
私の考えは、SHA1を使用して既存のMD5ハッシュをハッシュすることでした。つまり、MD5でハッシュし、SHA1で再度ハッシュする必要があることを意味します。これは、顧客がログオンしたときやパスワードをリセットしたときに繁殖することができます。
誰もこの方法で欠陥を見つけることができますか?私には
ありがとうダグラス。 BCryptは確かに私の食欲を増します。 – Kev