Se me ha pedido que implemente algunos cambios/actualizaciones en un sitio de intranet; hacer que sea 'a prueba de futuro' como lo llaman.Cómo actualizar un esquema de almacenamiento de contraseñas (algoritmo hash de cambio)
Encontramos que las contraseñas son hash utilizando el algoritmo MD5. (el sistema ha estado presente desde 2001, por lo que era adecuado en el momento).
Ahora nos gustaría actualizar el algoritmo de hashing a uno más fuerte (BCrypt-hash o SHA-256).
Obviamente no sabemos las contraseñas en texto plano-y la creación de una nueva contraseña de la base de usuarios es no es una opción*).
Por lo tanto, mi pregunta es:
¿Cuál es la forma aceptada para cambiar hash-algoritmo sin tener acceso a las contraseñas en texto plano?
La mejor solución sería una solución completamente 'detrás de escena'.
*) intentamos; Intenté convencerlos, utilizamos el argumento de "contraseña de edad", intentamos sobornarlos con café, intentamos sobornarlos con pastel, etc. etc. Pero es , no es una opción.
actualización
que estaba esperando algún tipo de solución automagic para resolver el problema, pero al parecer no hay otras opciones que simplemente 'esperar a que el usuario inicie sesión, a continuación, convertir'.
Bueno, al menos ahora no hay otra solución disponible.
Y cambie la contraseña del usuario cuando inicia sesión desde MD5 a BCrypt. – Dennis