Можно ли изменить хэш ("ripemd128", $ password) на использование password_verify ($ password, $ hashed_password)
Я работаю над проектом, который был написан около 12 лет назад и которым пользуются более 5 тысяч пользователей. На странице регистрации hash("ripemd128","$password") использовался для шифрования пароля, а на странице входа также использовалась та же функция. Теперь я думаю о замене hash("ripemd128","$password") на странице входа на password_verify(), и я не знаю, будет ли он работать или возможно ли обновить пароль каждого пользователя, чтобы использовать php password_hash($password, PASSWORD_DEFAULT), а затем изменить функцию hash("ripemd128","$password") на password_verify() в сценарий входа в систему.
Кроме того, я не знаю, действительно ли hash("ripemd128","$password") действительно безопасно использовать в Интернете сейчас (здесь я говорю о безопасности, то есть о том, насколько сложно будет злоумышленникам взломать пароль)
1. Похоже, что ripemd не имеет формы, совместимой с crypt(), поэтому он не будет работать с функциями password_*(), построенными вокруг него. 2. Вы правы, ripemd - это нет, хорошая идея для хеширования паролей.
Вы можете сделать то же самое, что и при обновлении паролей, созданных в password_hash. При входе в систему проверьте, имеет ли хеш старый тип. Если это так, проверьте учетные данные пользователей, если они действительны, создайте новый хэш с помощью password_hash, сохраните его в базе данных и продолжайте входить в систему пользователя. Или вы можете удалить все пароли и заставить каждого пользователя создать новый хэш пароля.