新しいプラットフォームに移行する必要がある数千のユーザーアカウントを持つシステムがあります。システムは、暗号化されたテキストではなく、ハッシュ化されたパスワードを保存します。また、私はすぐに利用できるハッシュの詳細を持っていません。
移行を行うための効果的な方法は何ですか?私の頭の上から思いついたアイデアが1つあります。
使用されていたハッシュアルゴリズムにアクセスできなかったことを除いて、最近同様の問題を経験しました。 2つの選択肢があると思います。
ただし、ハッシュアルゴリズムにアクセスできず、各ユーザーにメールアドレスがある場合は、別の選択肢があります。これは私が実際にしたことです:
2番目のオプションは、私にとって非常にうまく機能しました。ユーザーからの苦情はほとんどありませんでした。これは、ユーザーが忘れたパスワードをリセットする通常のプロセスであるため、比較的安全です。
あまりにも多くの問題に取り組む前に、ハッシュアルゴリズムが何であるかを検討しましたか?ハッシュ化されたパスワードを使用するのに十分正気である場合は、一般的なハッシュアルゴリズム(MD5、SHA1など)を使用するのに十分正気であることが望ましい。
いくつかの一般的なオプションを試して、それらが行っていることをリバースエンジニアリングできるかどうかを確認する価値があります。
また、「現在認証を行うコードの一部を削除する」ことにも言及しています。ハッシュアルゴリズムではなくコードを持っているのはどうですか?