Evolution #487
fermé
Meilleure sécurité du mot de passe
100%
Description
La méthode actuellement utilisée pour le stockage des mots de passe est loin d'être satisfaisante en termes de sécurité.
bohwaz conseille d'utiliser la fonction password_hash de php 5.5 et https://github.com/ircmaxell/password_compat pour php 5.3 & 5.4 qui émule la fonction.
La conversion des mots de passe existants n'est pas possible, le système devra donc essayer avec md5 si la première méthode ne fonctionne pas ; mais tous les mots de passe enregistrés (nouveaux ou pas) le seront avec la nouvelle méthode.
Puisque la longueur des hashs est différente ; il devrait être possible de se baser là-dessus pour désactiver automatiquement les méthodes de fallback (par un paramètre de configuration écrit lors de l'installation/mise à jour par exemple).
Mis à jour par Johan Cwiklinski il y a presque 12 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit 6d1178b6ad4798e030e7d1dd7dc9424786fe5379.
Mis à jour par Johan Cwiklinski il y a presque 12 ans
- Catégorie mis à Core
- Assigné à mis à Johan Cwiklinski
- Statut changé de Résolu à Fermé
- Version cible mis à 0.7.4
Mis à jour par Johan Cwiklinski il y a presque 12 ans
- Statut changé de Fermé à In Progress
- % réalisé changé de 100 à 80
Le mot de passe super admin est toujours en md5 (lors de la connexion, à l'enregistrement des préférences ainsi qu'à l'installation.
Il y a encore des md5 qui traînent également dans les classes Password, PasswordImage et Members.
Mis à jour par Johan Cwiklinski il y a presque 12 ans
- % réalisé changé de 80 à 100
- Statut changé de In Progress à Résolu
Appliqué par commit cb9c5ec94f817d29c61ec692ea69770a0a051591.