Project

General

Profile

Evolution #487

Meilleure sécurité du mot de passe

Added by Johan Cwiklinski over 6 years ago. Updated over 6 years ago.

Status:
Fermé
Priority:
Haut
Category:
Core
Target version:
Start date:
01/16/2013
Due date:
% Done:

100%

Estimated time:
Vote:

Description

La méthode actuellement utilisée pour le stockage des mots de passe est loin d'être satisfaisante en termes de sécurité.

bohwaz conseille d'utiliser la fonction password_hash de php 5.5 et https://github.com/ircmaxell/password_compat pour php 5.3 & 5.4 qui émule la fonction.

La conversion des mots de passe existants n'est pas possible, le système devra donc essayer avec md5 si la première méthode ne fonctionne pas ; mais tous les mots de passe enregistrés (nouveaux ou pas) le seront avec la nouvelle méthode.

Puisque la longueur des hashs est différente ; il devrait être possible de se baser là-dessus pour désactiver automatiquement les méthodes de fallback (par un paramètre de configuration écrit lors de l'installation/mise à jour par exemple).

Associated revisions

Revision 6d1178b6 (diff)
Added by Johan Cwiklinski over 6 years ago

Security : use php 5.5 password_hash instead of md5 to store passwords; fixes #487

Revision a7506555 (diff)
Added by Johan Cwiklinski over 6 years ago

Password and PasswordImage were using md5; refs #487

Revision cb9c5ec9 (diff)
Added by Johan Cwiklinski over 6 years ago

New password method; fixes #487

Members edition was still using md5; as well as superadmin login/storage

History

#1

Updated by Johan Cwiklinski over 6 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100
#2

Updated by Johan Cwiklinski over 6 years ago

  • Category set to Core
  • Assignee set to Johan Cwiklinski
  • Status changed from Résolu to Fermé
  • Target version set to 0.7.4
#3

Updated by Johan Cwiklinski over 6 years ago

  • Status changed from Fermé to In Progress
  • % Done changed from 100 to 80

Le mot de passe super admin est toujours en md5 (lors de la connexion, à l'enregistrement des préférences ainsi qu'à l'installation.

Il y a encore des md5 qui traînent également dans les classes Password, PasswordImage et Members.

#4

Updated by Johan Cwiklinski over 6 years ago

  • % Done changed from 80 to 100
  • Status changed from In Progress to Résolu
#5

Updated by Johan Cwiklinski over 6 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF