Evolution #487
closedMeilleure sécurité du mot de passe
100%
Description
La méthode actuellement utilisée pour le stockage des mots de passe est loin d'être satisfaisante en termes de sécurité.
bohwaz conseille d'utiliser la fonction password_hash de php 5.5 et https://github.com/ircmaxell/password_compat pour php 5.3 & 5.4 qui émule la fonction.
La conversion des mots de passe existants n'est pas possible, le système devra donc essayer avec md5 si la première méthode ne fonctionne pas ; mais tous les mots de passe enregistrés (nouveaux ou pas) le seront avec la nouvelle méthode.
Puisque la longueur des hashs est différente ; il devrait être possible de se baser là-dessus pour désactiver automatiquement les méthodes de fallback (par un paramètre de configuration écrit lors de l'installation/mise à jour par exemple).
Updated by Johan Cwiklinski almost 12 years ago
- Status changed from Nouveau to Résolu
- % Done changed from 0 to 100
Appliqué par commit 6d1178b6ad4798e030e7d1dd7dc9424786fe5379.
Updated by Johan Cwiklinski almost 12 years ago
- Category set to Core
- Assignee set to Johan Cwiklinski
- Status changed from Résolu to Fermé
- Target version set to 0.7.4
Updated by Johan Cwiklinski almost 12 years ago
- Status changed from Fermé to In Progress
- % Done changed from 100 to 80
Le mot de passe super admin est toujours en md5 (lors de la connexion, à l'enregistrement des préférences ainsi qu'à l'installation.
Il y a encore des md5 qui traînent également dans les classes Password, PasswordImage et Members.
Updated by Johan Cwiklinski almost 12 years ago
- % Done changed from 80 to 100
- Status changed from In Progress to Résolu
Appliqué par commit cb9c5ec94f817d29c61ec692ea69770a0a051591.
Updated by Johan Cwiklinski almost 12 years ago
- Status changed from Résolu to Fermé