Как перевести пароли с md5 на bcrypt?

Question

[maxim]

Есть база данных с клиентами, у них понятное дело есть пароли, но они все все на md5. Старый сайт делался на symfony2. Как переводить на новый bcrypt? Это вообще возможно ?

Comments

[Антон]

а как вы собрались раскодить мд5?

[Lander]

Возможно, если заставить всех пользователей ввести пароли заново и сохранить их по новой.

[maxim]

Антон, есть способы?

[Владислав Лысков]

m1rvi, нет, хеширование необратимо

[maxim]

Владислав Лысков, я немножко не так сказал. У меня недавно был вопрос где я спрашивал как сравнивать введеный пароль с md5, так как почему то это не работало..

Answer 1

[alexalexes]

Сморите по регламенту сайта, каков официальный срок действия пароля (если нет такого, то определяетесь с этим).
1. Создаете в базе новое поле под bcrypt пароль, а также дату смены пароля.
2. Делаете авторизацию использующую как md5, так и bcrypt если последняя задана.
3. Разрабатываете систему оповещения для пользователей, у которых истек срок действия пароля.
4. Ставите дату пароля такой же как и дату регистрации пользователя, если не использовали это раньше.
5. При смене пароля пишете только bcrypt, md5 не используете, лучше сделать поле-флаг, что пользователь менял пароль уже по новой технологии.
В течение пару периодов срока действия пароля будет постепенный переход на новый хэш.
Активных пользователей придется как-то стимулировать, чтобы сменили пароль.
Неактивные будут восстанавливать пароль, например, по email, если они вернутся на ваш ресурс и вы решите когда-нибудь больше не поддерживать md5 хэш.
PS: Принудительно заставлять менять пароль пользователю - это не самый оптимальный вариант. Заменяйте хэш пароля по новому алгоритму, как только получили от пользователя исходный пароль, который валиден по старому алгоритму, например, в процессе авторизации.

Comments

[maxim]

Вообще, я бы сделал поле newPass, когда пользователь пробовал входить, если у него стоит NULL в newPass кидало на страницу со сменой пароля и объяснением почему нужно, приходил на email код, он вводил его и наконец был бы новый пароль.. но проблема в том, что старый сайт заказчика не обязывал email, просто по желанию.. поэтому и задал вопрос.

[Mylistryx]

https://php.ru/manual/function.password-needs-reha...

[alexalexes]

Mylistryx, вы предлагаете тестировать хэш, соответствует ли он текущему методу хэширования и при необходимости запрашивать пароль у пользователя и записывать его в то же поле хэша?

[Mylistryx]

alexalexes, зачем? Проверяем пароль, если все ок - то проверяем, надо его перехэшировать или нет, если надо - перехешируем и сохраняем. Все проходит прозрачно для пользователя. По сути вот так:

public function validatePassword(string $password) {
$options = ['cost' => 12, ....]; // Параметры

    if (password_verify($password, $this->password_hash)) {
        if (password_needs_rehash($this->password->hash, PASSWORD_DEFAULT, $options) {
             $this->password_hash = hash_password($password)
             $this->save(); // Одним словом перехешируем пароль и сохраняем модельку или энтити или что там у вас
        }
        return true;
    }
    return false;
}

https://www.php.net/manual/ru/function.password-ne... пример №1
UPD: Поправил код для прозрачной проверки.

[Adamos]

Mylistryx, это стоит оформить отдельным ответом, так как он более правильный, чем тот, который откомментирован (его автор предполагает делать пользователям голову на ровном месте).

[FanatPHP]

Adamos, а как этот код соотносится с текущими паролями в md5?

[alexalexes]

Mylistryx, понятно, при успешной авторизации заменяем хэш. Удобно.

[Adamos]

FanatPHP, я и не сказал, что он правильный. Я сказал "более" ;)
Впрочем. автор этого тоже поправился, дописав постскриптум.

Answer 2

[FanatPHP]

в общем в соседнем ответе перепутана политика смены паролей и смена алгоритмов хэширования.

Смена алгоритмов немного попроще
Заводится новое поле под нормальный хэш, дальше при авторизации смотрим - если оно есть то авторизуем по нему
Если нету - авторизуем по старому хэшу и хэшируем пароль в новый.

Comments

[maxim]

Ну да, я так и хотел, зачем мудрить.. Просто старый сайт не предусматривал обязательного email, и как теперь проверять, точно ли это тот юзер, не знаю. Поэтому и задал этот вопрос