Projet

Général

Profil

Actions

Evolution #487

fermé

Meilleure sécurité du mot de passe

Ajouté par Johan Cwiklinski il y a environ 11 ans. Mis à jour il y a environ 11 ans.

Statut:
Fermé
Priorité:
Haut
Assigné à:
Catégorie:
Core
Version cible:
Début:
16/01/2013
Echéance:
% réalisé:

100%

Temps estimé:

Description

La méthode actuellement utilisée pour le stockage des mots de passe est loin d'être satisfaisante en termes de sécurité.

bohwaz conseille d'utiliser la fonction password_hash de php 5.5 et https://github.com/ircmaxell/password_compat pour php 5.3 & 5.4 qui émule la fonction.

La conversion des mots de passe existants n'est pas possible, le système devra donc essayer avec md5 si la première méthode ne fonctionne pas ; mais tous les mots de passe enregistrés (nouveaux ou pas) le seront avec la nouvelle méthode.

Puisque la longueur des hashs est différente ; il devrait être possible de se baser là-dessus pour désactiver automatiquement les méthodes de fallback (par un paramètre de configuration écrit lors de l'installation/mise à jour par exemple).

Actions

Formats disponibles : Atom PDF