Un proyecto de GitHub que verifiqué recientemente tiene una seguridad defectuosa, ya que están usando un md5 () sin sal para cifrar las contraseñas. Abrí un error y lo reconocieron. Sin embargo, la transición de md5 () a bcrypt significaría que todos los usuarios tendrían que iniciar sesión para poder migrar la contraseña.
Entonces, mi pregunta es, ¿ si el uso de bcrypt sobre md5 () reduce la seguridad?
// For already logged in users:
if (password_verify(md5($_POST['pass']), $DBHash)) {
}
De esa manera, toda la base de datos podría migrarse fácilmente, en lugar de migrar a cada usuario individualmente.
¿Debería haber algún otro problema además del hecho de que PHP podría agotarse si no se maneja correctamente? (alrededor de 1 segundo por cada hash).