Project

General

Profile

Actions

Evolution #487

closed

Meilleure sécurité du mot de passe

Added by Johan Cwiklinski almost 12 years ago. Updated almost 12 years ago.

Status:
Fermé
Priority:
Haut
Category:
Core
Target version:
Start date:
01/16/2013
Due date:
% Done:

100%

Estimated time:

Description

La méthode actuellement utilisée pour le stockage des mots de passe est loin d'être satisfaisante en termes de sécurité.

bohwaz conseille d'utiliser la fonction password_hash de php 5.5 et https://github.com/ircmaxell/password_compat pour php 5.3 & 5.4 qui émule la fonction.

La conversion des mots de passe existants n'est pas possible, le système devra donc essayer avec md5 si la première méthode ne fonctionne pas ; mais tous les mots de passe enregistrés (nouveaux ou pas) le seront avec la nouvelle méthode.

Puisque la longueur des hashs est différente ; il devrait être possible de se baser là-dessus pour désactiver automatiquement les méthodes de fallback (par un paramètre de configuration écrit lors de l'installation/mise à jour par exemple).

Actions

Also available in: Atom PDF