操作
Enhancement(機能追加・改善) #1482
未完了Enhancement for Password (パスワードの仕様変更)
開始日:
2011-05-04
期日:
2011-06-30 (13年以上 遅れ)
進捗率:
0%
予定工数:
(合計: 0:00時間)
説明
Overview (概要)¶
Enhancement for Password (パスワードの仕様変更)
- The password is saved database before md5 hash now, but hash function must use salted SHA256 or salted SAH512.
- The password must be able to use the symbol character.
- 現状md5ハッシュでの保存となっているが、salted SHA256や salted SHA512 (もしくはより安全なハッシュアルゴリズム)を利用する。
- (OpenPNE3は PHP5.2以降のためphp5.1.2でデフォルトで有効になったhash拡張モジュールを活用するといった手段を使いたい)
- パスワードの文字長は最小は制限するが最大値は制限しない。
- 英数字意外にも記号を使えるようにする
- 旧バージョンとの互換性
- 文字長で判断?
Youichi Kimura さんが13年以上前に更新
↓のような修正を https://github.com/upsilon/OpenPNE3/tree/ticket1482 で行う予定です
改善後のパスワードの仕様:- パスワードの生成にphpassを使用 (Wordpressで使われているのと同じもの)
- ハッシュ関数に CRYPT_BLOWFISH, CRYPT_EXT_DES, (stretchingされた)MD5 のいずれかが使用される
- 既にMD5でハッシュ化されたパスワードとの互換性は保つ
- phpassで生成されるハッシュは先頭が「$」から始まるため区別できる
- もちろんパスワードは再設定することを推奨 (改善後の仕様でハッシュを生成し直すため)
- パスワードの文字長の上限を設定しない
操作