Passer le hachage des mots de passe à bcrypt
Bonjour.
Pour renforcer la sécurité des mots de passe, un passage à bcrypt peut être envisagé.
Le temps de la transition, la base de donnée aura deux colonnes, une pour le mot de passe haché actuel, l'autre pour celui haché avec bcrypt.
Lors de la connexion d'un utilisateur, le script vérifiera si une valeur est présente dans la case bcrypt associé à l'utilisateur, si ce n'est pas le cas, l'ancienne case sera utilisée. En cas de mot de passe incorrecte, l'erreur habituel se produira, en cas de bon mot de passe, le script devra hacher le mot de passe donné en bcrypt dans la nouvelle case et vider l'ancienne.
L'utilisation de "mot de passe oublié" devra automatiquement générer le mot de passe haché en bcrypt et vider l'ancienne case.
On pourrait instaurer un délais de connexion (une année) pour convertir le mot de passe, après une année tous les utilisateurs sans mot de passe haché en bcrypt seront forcés de passer par "mot de passe oublié". (le une année peut être remplacé par n'importe quelle autre durée)
Cordialement.