Passwörter: Unterstützung für crypt, MD5 und SHA-1 entfernt
authorMoritz Bunkus <m.bunkus@linet-services.de>
Mon, 11 Jan 2016 12:34:30 +0000 (13:34 +0100)
committerMoritz Bunkus <m.bunkus@linet-services.de>
Mon, 11 Jan 2016 12:34:30 +0000 (13:34 +0100)
commit69af50448452e9b292134bee25705a64505e8ff4
tree3e783918e8834f9e61675bbee0a3cb6abaa6d61e
parentc157c911ac9175e4838990d051c594dd5eec7e21
Passwörter: Unterstützung für crypt, MD5 und SHA-1 entfernt

Diese Algorithmen gelten allesamt als unsicher.

Falls die Datenbank jemals in falsche Hände geraten sollte, so würden
zumindest die mit crypt und MD5 gehashten Passwörter schnell zu knacken
sein. Die mit SHA-1 gehashten dürften etwas länger dauern, aber auch sie
sind gefährdet. Daher werden sie in der Datenbank schlicht
entfernt. Admins müssen für solche Accounts neue Passwörter vergeben.

Dies sollte nur Accounts betreffen, deren Passwort sich seit der
Einführung von SHA256S als Mechanismus in kivitendo 2.7.0 Mitte 2011
nicht mehr geändert hat.
SL/Auth/Password.pm
doc/UPGRADE
doc/changelog
sql/Pg-upgrade2-auth/remove_insecurely_hashed_passwords.sql [new file with mode: 0644]