Gestisco un gioco MMORPG e oggi mentre si sposta da un server a un altro, apache ha fallito e ha elencato alcuni dati sul server incluso un back-up di tutto il codice sorgente + database che alcune persone hanno scaricato
Quando ho capito che è successo, ho forzato una modifica della password su tutti gli utenti e ho immediatamente cambiato la password del mio database
Le password sono state crittografate con SHA1 e, come ho capito, alcuni utenti sono stati hackerati (quindi immagino che le loro password siano state violate) dopo aver chiesto agli utenti che sono stati hackerati quali erano le loro password, erano soprattutto password numeriche che erano incrinate. Gli account che sono stati hackerati hanno ingame azioni che riguardano l'intero gameplay e quindi sono costretto a ripristinare il mio ultimo backup del database (che è anche il database degli hacker)
Ora, una volta che lo faccio. Le password per gli utenti sarebbero rimaste invariate (quelle incrinate) quindi mi chiedevo come avrei potuto ripristinare il backup del mio database e anche assicurarmi che gli utenti fossero al sicuro
Ho pensato di generare password casuali per ogni utente + salt e inviarle via e-mail con la nuova password, così hanno una nuova password che gli hacker non hanno, e dopo il login saranno anche costrette a cambiarle. Sarebbe la migliore pratica? Qualcuno ha un'idea migliore?