Si tengo contraseñas almacenadas como hash MD5 salado, pero quiero moverlas para usar bcrypt, ¿cuál es la mejor manera de realizar esa transición? (dado que no puedo recuperar las contraseñas)¿Cómo migrar un hash de contraseña?
¿Debo bryptir el hash md5? ¿Hay implicaciones criptográficas para hacer eso que no quiero?
Normalmente, los sitios simplemente hacen que los usuarios cambien sus contraseñas. Si agrega un campo hash_version a su tabla de usuarios, puede realizar un seguimiento del tipo de hash actual. Cuando alguien con MD5 inicia sesión, haz que cambien sus contraseñas.
Después de un cierto período de tiempo, puede caducar opcionalmente todas las contraseñas MD5 restantes (obligando a los usuarios a reiniciar para iniciar sesión).
¿Qué ganarías con hash de los hash MD5 existentes? Su aplicación aún necesitará saber qué tipo de función hash se contrató con la contraseña de cada usuario y, posiblemente, probar ambas al autenticarse. Entonces no veo el beneficio de volver a hablar. –
La ventaja de hash el hash md5 con bcrypt es que se puede aplicar unilateralmente en el db. No es necesario esperar a que el usuario vuelva a ingresar el texto claro pw. – Taylor
encontró esta publicación de blog que afirma que está bien, pero no tiene idea de lo que se basa en http://thepileof.blogspot.ca/2012/06/how-to-migrate-database-of-stored.html – Taylor