将用户密码从加盐 SHA1 升级到 bcrypt答案

【问题标题】：Upgrading user passwords from salted SHA1 to bcrypt将用户密码从加盐 SHA1 升级到 bcrypt
【发布时间】：2013-10-10 07:22:11
【问题描述】：

我受雇在新的 PHP 5.3 服务器上使用 Laravel 4 重建基于 CodeIgniter 1.7.3（在 PHP 4.2 服务器上）构建的积极使用的应用程序。

系统有大约 500 个用户，其密码使用加盐 SHA-1 哈希加密。我想使用 bcrypt 来增加应用程序的安全性以及与 Laravel 4 的身份验证系统集成。

您建议如何迁移这些用户的密码？

【问题讨论】：

【解决方案1】：

哈希的全部意义在于您无法恢复原始密码。

您有三个选择：

【讨论】：

还有第三个选项，重置用户密码。这不是一个好的选择，但如果你提到了双重哈希，你也应该提到这一点。
@ElonThan：是的；我刚做了。
好点。之前没有正确考虑它，但选项 2 是有道理的。我将在用户表中添加一个 brcypt 字段，当用户登录时，我将对密码进行 bcrypt 散列并将其存储在新字段中，从记录中删除 SHA1 密码并添加一些条件逻辑以了解哪个字段比较，直到每个人都完全迁移。
@Nick：如果您有相当大的用户群，迁移所有人可能需要 很长时间 时间。
正如 SLaks 所说，这可能需要很长时间。也许最好为每一行存储一个“算法”，告诉系统要使用的算法，并在下次登录时更新到 bcrypt。这样您以后也可以更改您的算法，您不必担心返回并删除您的 SHA 列并为某些用户弄乱数据。

【解决方案2】：

【讨论】：

【解决方案3】：

您可以为每个用户创建一个随机密码，并使用新密码向每个人发送一封通知电子邮件。但是，如果用户没有看到电子邮件，这将导致混乱。

我建议您为 bcrypt 值添加另一个 db 字段，然后在更改后用户第一次登录时创建一个条目。您可以使用单独的字段或删除旧的哈希来跟踪。

当您的活跃用户迁移后，您可以随意对其余用户群使用随机密码方法来完成迁移。

【讨论】：