web-gelistirme-sc.com

Kullanıcı hesaplarını karma şifreleri olan sistem dışına taşı

Yeni bir platforma geçmem gereken birkaç bin kullanıcı hesabına sahip bir sistemim var. Sistem şifrelenmemiş bir şifreli şifreyi veya (çok şükür) düz metni saklar. Ayrıca, mevcut karma detaylara da sahip değilim.

Geçiş yapmanın bazı etkili yolları nelerdir? Bir fikir kafamın üstünden akla geliyor:

  1. Zamanın ilerisinde tüm verileri taşıyabilirim. Eski platformdaki mevcut kullanıcıların bir hesabı ve tüm verileri yeni platformda olacaktır.
  2. Şu anda kimlik doğrulaması işleyen kodun bir kısmını çıkartın ve kullanıcı adı/şifrenin geçerliliğini kontrol edecek bir hizmete dönüştürün.
  3. Yeni platform ilk önce şifrenin aktarılıp aktarılmadığını görmek için kendi kimlik doğrulamasını kontrol edebilir. Olmamışsa, eski sistemde geçerli olup olmadığını belirlemek için diğer platformdaki hizmeti arayabilir.
  4. Geçerli değilse, kullanıcıya girişlerinin yanlış olduğunu söyler.
  5. Geçerliyse, artık doğru şifreyi biliyor ve kendi kullanıcı tablosunu şifre ile doldurabilir (hangi platformun kullandığı şemasına göre).
site-deploymentsite-maintenance
3
Larsenal

Geçenlerde benzer bir sorun yaşadım, ancak kullanılan karma algoritmaya erişimim yoktu. Bence 2 seçeneğin var.

  1. Tüm kullanıcı profillerini yeni sisteme taşıyın ve eski parola karmaşası ile fazladan bir sütuna sahip olun.
  2. Kullanıcı ilk defa oturum açtığında, sisteminizde yeni sistemde hiçbir hesap bulunmadığını ancak eski sistemden bir karma olduğunu görecektir. Sisteminizde parolanın önceden alınmış bir kopyası saklanır ve karma sürümü eski karma değerine karşı kontrol eder.
  3. Eski karma eşleşirse, yeni sistemdeki şifreyi gönderdiklerine göre ayarlayın.

Ancak, karma algoritmaya erişiminiz olmadığını ve her kullanıcının e-posta adresini bildiğinizden başka bir seçeneğiniz olduğunu görürseniz. Aslında ben de öyle yaptım:

  1. Eskiden yeni sisteme tüm kullanıcı adlarını, e-posta adresini ve bilgileri kopyalayın. Kullanıcının eski sistemden olduğunu gösteren tabloya bir bayrak sütunu koyun.
  2. Kullanıcı yeni sisteme ilk kez giriş yaptığında, yeni sistem bir hesabı olduğunu ancak şifresi olmadığını görecektir.
  3. Sisteminize ekranda "Web sitemizi güncelledik ve kullanıcı hesabınız dönüştürüldü." Gibi kısa bir süre içinde yeni bir geçici şifre içeren bir e-posta alacaksınız (şifre veya özel bağlantının kısa bir süre için çalıştığından emin olun) zaman aralığı).
  4. Kullanıcıya yeni sitenize giriş yapmalarını sağlayacak bir geçici şifre gönderin. İlk kez giriş yaptıklarında şifrelerini istedikleri şekilde sıfırlamalarını isteyin.

İkinci seçenek benim için oldukça iyi çalıştı. Neredeyse hiçbir kullanıcı şikayeti yoktu ve bu, bir kullanıcının unutulan şifresini sıfırlaması için normal bir işlem olduğu için nispeten güvenli.

3
Ben Hoffman

Çok fazla sorun çıkarmadan önce, karma algoritmanın ne olabileceğine baktınız mı? Eğer şifreli şifreleri kullanacak kadar aklı başındaydılarsa, umarım ortak bir karma algoritması (MD5, SHA1, vb.) Kullanacak kadar aklı başındadırlar.

Yaptıklarını tersine çevirip değiştiremeyeceğinizi görmek için birkaç ortak seçeneği denemeye değer olabilir.

Ayrıca, "şu anda kimlik doğrulama yapan bazı kodların sökülmesi" ifadesinden de bahsediyorsunuz. Kodunuz var ancak karma algoritması yok mu?

0
Eric Petroelje