Attualmente il mio progetto utilizza ancora l'hashing MD5 per crittografare le password. Sì, lo so.
Sto pianificando di aggiornare il sistema di password per utilizzare le nuove funzioni password_hash
e password_verify
in PHP, che miglioreranno la sicurezza delle password degli utenti.
Tuttavia, il mio team di moderatori ha espresso preoccupazione: poiché una delle nostre regole di base vieta agli utenti di avere più di un account, hanno bisogno di modi per dire se due account appartengono alla stessa persona. Uno di questi metodi è quello di verificare se gli hash MD5 sono gli stessi nei due account sospetti: in tal caso, gli account hanno la stessa password e il sospetto si intensifica. Ma con il nuovo sistema proposto, questo non sarà più possibile perché verranno creati diversi hash sui due account.
Nell'interesse di trovare un compromesso, esiste un modo per utilizzare la migliore sicurezza di password_hash
, fornendo al contempo un modo per il team del moderatore di rilevare quando due account condividono la stessa password?
I miei pensieri al momento coinvolgono l'hashing della password in qualche altro modo che produrrà lo stesso hash per la stessa password, ma sono preoccupato che questo reintroduca la stessa vulnerabilità che stiamo cercando di scappare muovendo lontano da MD5. Ci sono delle opzioni qui o dovrò usare Executive Decision Power per annullare la preoccupazione?