Я группа из одного человека, и мне нужно решить проблему, которую кто-то создал журнал назад.У меня есть клиентский сайт, на котором пароли хранятся небезопасно (простой текст).Я хочу исправить это, но я просто хотел опубликовать процесс, чтобы убедиться, что я нахожусь на правильном пути с преобразованием в хешированный пароль (md5, скорее всего).
Вот мои шаги, в которые я могу поверить, что смогу решить эту проблему.
- Измените таблицу, чтобы увеличить зашифрованный пароль большего размера.
- Добавьте соль, предыдущий пароль и дату последнего изменения пароля в таблицу.
- Сброс всех паролей, сохранение всехстарые пароли.Не уверен, использовать ли обычный текст или md5 при хранении старых паролей.
Заставить пользователей сменить пароль.Этот процесс я все еще хочу обсудить.
Я думаю, я позволю им войти в систему, проверяя пользователя, проверяя, является ли пароль 32 символами или менее.
Еслименьше, проверьте прошедший пароль на совпадение.
Если прошлый пароль совпадает, отправьте электронное письмо с временным токеном на страницу для изменения пароля.
Это звучит разумно, процессы?Меня беспокоит то, что они вынуждены сменить пароль.Другой вариант - просто отправить им маркер, чтобы он сменил пароль при попытке войти в систему.
Заранее спасибо!