Galette

La méthode actuellement utilisée pour le stockage des mots de passe est loin d'être satisfaisante en termes de sécurité.

bohwaz conseille d'utiliser la fonction password_hash de php 5.5 et https://github.com/ircmaxell/password_compat pour php 5.3 & 5.4 qui émule la fonction.

La conversion des mots de passe existants n'est pas possible, le système devra donc essayer avec md5 si la première méthode ne fonctionne pas ; mais tous les mots de passe enregistrés (nouveaux ou pas) le seront avec la nouvelle méthode.

Puisque la longueur des hashs est différente ; il devrait être possible de se baser là-dessus pour désactiver automatiquement les méthodes de fallback (par un paramètre de configuration écrit lors de l'installation/mise à jour par exemple).