我被要求对一个内部网站进行一些更改/更新; 使其成为所谓的“未来证明”。
我们发现密码是使用MD5算法进行哈希的。(该系统自2001年以来存在,因此当时是足够的)。
我们现在想将哈希算法升级为更强的算法(BCrypt-hash或SHA-256)。
显然我们不知道明文密码,并且为用户群创建新密码不是一个选项*)。
那么我的问题是:
没有访问明文密码的情况下更改哈希算法的接受方式是什么?
最好的解决方案是完全“在幕后”解决的方法。
*) 我们尝试过; 尝试说服他们,使用“密码年龄”的论据,用咖啡贿赂他们,用蛋糕贿赂他们,等等。但这不是选项。
更新
我希望有某种自动化解决问题的解决方案,但显然除了“等待用户登录,然后转换”之外别无选择。
好吧,至少现在我知道没有其他可用的解决方案。