Projet

Général

Profil

Evolution #487

Meilleure sécurité du mot de passe

Ajouté par Johan Cwiklinski il y a plus de 4 ans. Mis à jour il y a plus de 4 ans.

Statut:
Fermé
Priorité:
Haut
Assigné à:
Catégorie:
Core
Version cible:
Début:
16/01/2013
Echéance:
% réalisé:

100%


Description

La méthode actuellement utilisée pour le stockage des mots de passe est loin d'être satisfaisante en termes de sécurité.

bohwaz conseille d'utiliser la fonction password_hash de php 5.5 et https://github.com/ircmaxell/password_compat pour php 5.3 & 5.4 qui émule la fonction.

La conversion des mots de passe existants n'est pas possible, le système devra donc essayer avec md5 si la première méthode ne fonctionne pas ; mais tous les mots de passe enregistrés (nouveaux ou pas) le seront avec la nouvelle méthode.

Puisque la longueur des hashs est différente ; il devrait être possible de se baser là-dessus pour désactiver automatiquement les méthodes de fallback (par un paramètre de configuration écrit lors de l'installation/mise à jour par exemple).

Révisions associées

Révision 6d1178b6
Ajouté par Johan Cwiklinski il y a plus de 4 ans

Security : use php 5.5 password_hash instead of md5 to store passwords; fixes #487

Révision a7506555
Ajouté par Johan Cwiklinski il y a plus de 4 ans

Password and PasswordImage were using md5; refs #487

Révision cb9c5ec9
Ajouté par Johan Cwiklinski il y a plus de 4 ans

New password method; fixes #487

Members edition was still using md5; as well as superadmin login/storage

Historique

#1 Mis à jour par Johan Cwiklinski il y a plus de 4 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

#2 Mis à jour par Johan Cwiklinski il y a plus de 4 ans

  • Catégorie mis à Core
  • Assigné à mis à Johan Cwiklinski
  • Statut changé de Résolu à Fermé
  • Version cible mis à 0.7.4

#3 Mis à jour par Johan Cwiklinski il y a plus de 4 ans

  • Statut changé de Fermé à In Progress
  • % réalisé changé de 100 à 80

Le mot de passe super admin est toujours en md5 (lors de la connexion, à l'enregistrement des préférences ainsi qu'à l'installation.

Il y a encore des md5 qui traînent également dans les classes Password, PasswordImage et Members.

#4 Mis à jour par Johan Cwiklinski il y a plus de 4 ans

  • % réalisé changé de 80 à 100
  • Statut changé de In Progress à Résolu

#5 Mis à jour par Johan Cwiklinski il y a plus de 4 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF