Как перевести базу паролей сайта в md5 на новый алгоритм password_hash?

Question

[Александр Владимирович]

Переделываю сайт, там много пользователей в базе, пароли в md5.
Надо переделать на password_hash.
Как это сделать попроще

Answer 1

[Котик Антон]

В течении месяца при успешной авторизации сохранять введенный пароль в password_hash, заменяя md5. То есть для всех активных пользователей смена алгоритма хранения пароля пройдёт незаметно. Остальным - через месяц сбросить принудительно.

Answer 2

[kstyle]

заставить пользователей сбросить пароли. перед этим сгенерировать им новый и сообщить на email

Comments

[Александр Владимирович]

жестоко как-то

Answer 3

[Андрей Павленко]

Добавить новую колонку для пароля, например, password_new.
Для пользователей, у которых password_new пустой, но есть старый пароль - при первой успешной авторизации переводить пароль (который нам прислали в POST-форме) в password_hash и очищать поле md5.
Постепенно все активные пользователи начнут использовать новый алгоритм.
Также есть метод с костылями - все существующие md5-хеши перевести в password_hash, а уже при авторизации делать md5 пароля и затем уже проверять с помощью password_verify.
Да, это немного костыли, но решение более простое.

Comments

[Александр Владимирович]

md5-хеши перевести в password_hash как это сделать?

[Григорий Есин]

Александр Владимирович: Никак. Для того, чтобы получить password_hash нужен оригинальный текст пароля.

[Сергей Соколов]

Александр Владимирович: никак.