मैं एमडी 5 से एसएचए में पासवर्ड हैशिंग कैसे बदलूं?

Question

मेरे पास एक पुराना एप्लिकेशन है जिसमें डेटाबेस में उपयोगकर्ता पासवर्ड को MD5 हैश के साथ संग्रहीत किया गया है। मैं इसे SHA-2 परिवार में कुछ के साथ बदलना चाहता हूं।

मैंने इसे पूरा करने के दो संभावित तरीकों के बारे में सोचा है, लेकिन दोनों बदसूरत लगते हैं।

1) एक बूलियन "ध्वज" फ़ील्ड जोड़ें। उपयोगकर्ता द्वारा पहली बार प्रमाणीकरण करने के बाद, एमडी 5 पासवर्ड हैश को SHA पासवर्ड हैश के साथ बदलें, और ध्वज सेट करें। फिर मैं यह देखने के लिए ध्वज की जांच कर सकता हूं कि पासवर्ड हैश बदल गया है या नहीं।

2) SHA हैश को स्टोर करने के लिए दूसरा पासवर्ड फ़ील्ड जोड़ें। उपयोगकर्ता द्वारा पहली बार प्रमाणीकरण करने के बाद, SHA के साथ पासवर्ड हैश और इसे नए फ़ील्ड में संग्रहीत करें (संभवतः एक ही समय में उनके MD5 हैश को हटाएं)। फिर मैं जांच सकता हूं कि एसएचए फ़ील्ड का मूल्य है या नहीं; यह अनिवार्य रूप से मेरा ध्वज बन जाता है।

किसी भी मामले में, एमडी 5 प्रमाणीकरण किसी भी उपयोगकर्ता के लिए कुछ समय के लिए जगह पर रहना होगा जो अक्सर लॉग इन करता है। और जो भी उपयोगकर्ता अब सक्रिय नहीं हैं उन्हें कभी भी SHA पर स्विच नहीं किया जाएगा।

क्या ऐसा करने का कोई बेहतर तरीका है?

Answer 1

अनिवार्य रूप से एक ही है, लेकिन शायद अतिरिक्त क्षेत्रों को जोड़ने की तुलना में अधिक सुंदर: Django में डिफ़ॉल्ट प्रमाणीकरण framwork में, पासवर्ड हैश इस तरह का निर्माण तारों के रूप में जमा हो जाती है:

hashtype$salt$hash 

Hashtype या तो SHA1 या md5 है, नमक एक यादृच्छिक स्ट्रिंग है जो कच्चे पासवर्ड को नमक करने के लिए प्रयोग किया जाता है और अंत में हैश स्वयं ही आता है।उदाहरण मान:

sha1$a1976$a36cc8cbf81742a8fb52e221aaeab48ed7f58ab4 

Answer 2

मुझे लगता है कि आपको पहले से ही सर्वोत्तम संभावनाएं मिल चुकी हैं। मुझे # 2 से # 1 अधिक पसंद है, क्योंकि शा सेट होने के बाद एमडी 5 के लिए कोई उपयोग नहीं है।

एमडी 5 को रिवर्स करने का कोई तरीका नहीं है, इसलिए आपको उपयोगकर्ता को एक नया हैश बनाने के लिए फिर से प्रमाणित करने की प्रतीक्षा करनी है।

Answer 3

आपका दूसरा सुझाव मेरे लिए सबसे अच्छा लगता है। इस तरह लगातार उपयोगकर्ताओं को भविष्य में एक और अधिक सुरक्षित अनुभव होगा।

पहला प्रभावी ढंग से "क्विर्क-मोड" आपका कोडबेस है और केवल यह सुनिश्चित करता है कि नए उपयोगकर्ताओं के पास बेहतर SHA अनुभव हो।

Answer 4

नहीं - मूल रूप से आपको एमडी 5 को तब तक रखना होगा जब तक कि आपके द्वारा देखी जाने वाली सभी उपयोगकर्ताओं को परिवर्तित नहीं किया जाता है। यह सिर्फ हैशिंग की प्रकृति है - आपके पास फिर से रूपांतरण करने के लिए पर्याप्त जानकारी नहीं है।

दूसरों के साथ रखने में एक और विकल्प पासवर्ड फ़ील्ड प्रभावी ढंग से आत्म-वर्णन करना होगा, उदा।

MD5:(md5 hash) 
SHA:(sha hash) 

फिर आप आसानी से जो एल्गोरिथ्म तुलना के लिए उपयोग करने के लिए पता लगाने के लिए, और दो क्षेत्रों होने से बचने के सकता है। फिर से, आप एसडीए के साथ एमडी 5 को ओवरराइट करेंगे जैसे आप साथ गए थे।

आप सभी मौजूदा पासवर्ड स्वयं को MD5 के रूप में घोषित करने के लिए प्रारंभिक अपडेट करना चाहते हैं।

Answer 5

यदि एमडी 5 को नमकीन नहीं किया जाता है तो आप पासवर्ड प्राप्त करने के लिए हमेशा एक डिक्रिप्शन साइट/इंद्रधनुष सारणी जैसे http://passcracking.com/index.php का उपयोग कर सकते हैं। यद्यपि पुनः-एन्कोड विधि का उपयोग करने के लिए शायद आसान है।

Answer 6

आप उन्हें अपने DB में rehashing अगर आप पहली बार उन्हें MD5ing द्वारा अपने भविष्य के पासवर्ड बनाने के द्वारा SHA1 के लिए अपने सभी MD5 तार बदल सकते हैं। पासवर्ड की जांच करने के लिए उन्हें पहले MD5ing की आवश्यकता होती है, लेकिन मुझे नहीं लगता कि यह एक बड़ी हिट है।

php-कोड (प्रवेश):

पिछला: $ लॉगिन = (md5 ($ पासवर्ड) == $ storedMd5PasswordHash);

के बाद: $ लॉगिन = (sha1 (md5 ($ पासवर्ड)) == $ संग्रहीत Sha1PasswordHash);

नमक के साथ भी काम करता है, here से प्रारंभिक विचार मिला।

Answer 7

हाँ आप वास्तविक पासवर्ड पता होना चाहिए पहले इससे पहले कि आप SHA-1 में तब्दील ..

आप md5 एन्क्रिप्टेड स्ट्रिंग से वास्तविक पासवर्ड प्राप्त करना चाहते हैं, तो आप कोशिश कर सकते हैं md5pass.com