Un progetto GitHub che ho controllato di recente ha una sicurezza imperfetta poiché sta usando un md5 () non salato per cancellare le password. Ho aperto un bug e loro lo hanno riconosciuto. Tuttavia, la transizione da md5 () a bcrypt significherebbe che ogni utente dovrebbe effettuare il login in modo da poter migrare la password.
Quindi la mia domanda è, usa bcrypt su md5 () per ridurne la sicurezza?
// For already logged in users:
if (password_verify(md5($_POST['pass']), $DBHash)) {
}
In questo modo, l'intero database potrebbe essere migrato facilmente, invece di migrare ogni utente individualmente.
Ci dovrebbero essere altri problemi oltre al fatto che PHP potrebbe scadere se non gestito correttamente? (circa 1 secondo per ogni hash).