@Sirius3 wenn das alles ist - dann ist es ja simpel & kann bei bedarf nachgepflegt werden.
Aber es klang so, als ob da noch mehr hinter wäre.
Passwortabfrage / Hashlib
Du hast im wesentlichen zwei Möglichkeiten:__deets__ hat geschrieben:Hast du dafür ein Beispiel? Klingt herausfordernd. Und nach etwas, das man leicht verkackt ohne echt Ahnung von crypto zu haben.
1. Passwort beim nächsten Login ändern. Hierbei überprüft du ob dass Passwort stimmt wie sonst auch und falls korrekt erstellst und speicherst du neuen Hash.
Das ist sehr einfach zu implementieren und es kann eigentlich nichts falsch gehen. Nachteil ist natürlich du hast ein Hash der "unsicher" ist bis sich der User wieder einloggt. Wenn man eine Seite hat die nicht regelmäßig genutzt wird also täglich oder zumindest wöchentlich, vielleicht ein Problem. Das kann man dann umgehen indem man den Account irgendwie deaktiviert und einen Aktivierungslink per E-Mail schickt aber ist natürlich nicht sonderlich elegant.
2. Passwort Hash hashen. Hierbei hasht du den existierenden Hash. Um den zu validieren muss man dann NewHash(OldHash(Password)) == NewPasswordHash berechnen, danach machst du Schritt 1. Erfordert dass du dir natürlich alle verwendeten Algorithmen und dazugehörige Parameter mit speicherst.