Trust me, zet ze niet om in de database, genereer een nieuw wachtwoord bij inloggen.

Hoe veel sites het doen is:
Slaag nieuw wachtwoord op bij het inloggen.
Na een maand wis je alle oude wachtwoorden uit de db en verplicht je users zonder ww in de db om de functie wachtwoord vergeten te gebruiken via email.
Je kan dit zelfs meteen voor hen al sturen die mail.

Succes!
X

Waarom maak je voor de user geen nieuwe encryptie opslag, zo val je ze ook niet lastig hiermee.
Je kan in de code een controle maken zonder ze lastig te vallen hiermee, dan pas je alles server-side voor ze aan.

if ($old_passwd != "")
{
    //Werk hier een nieuw wachtwoord aan voor je user.
    //Delete het oude wachtwoord zodat ze op de nieuwe encryptie verder gaan.
}
else {
    
    //User heeft geen oude encryptie meer, controleer de nieuwe.
}

Je kan tot 6.000 leden gratis mailen via Mailjet.

Kan je dit dan in meerdere stappen doen Koen?
Stel je hebt 12.000 leden. Dat je eerst 1 helft mailt. En dan de andere helft?

Citaat van L. Velthuis

Kan je dit dan in meerdere stappen doen Koen?
Stel je hebt 12.000 leden. Dat je eerst 1 helft mailt. En dan de andere helft?

Mailjet gaat maandelijks, dus je kan maandelijks 6000 mailtjes max sturen en 200 per dag.

Ik doe er 6 per 5 minuten, dus dan stuur ik er 72 per uur.

Citaat van K.Rens

Je kan tot 6.000 leden gratis mailen via Mailjet.

Via mandrill.com kan je tot 12.000 e-mails gratis versturen per maand.

Hallo,

Voor het veilig stellen van een wachtwoord, zie mijn klasse: klikje

Wat betreft hoe te veranderen:
Geef na het inloggen aan dat het wachtwoord gewijzigd moet veranderd worden om de veiligheid te verbeteren van de website. Kijk hoeveel het er zijn na een maand en misschien dat je dan een mailing kan doen.

Mvg,
Tim

Vergis ik me?
Of is dit nog altijd niet veilig?

De hash coalision issue werd hiermee niet opgelost, je haalt het nog altijd door md5...
Je lost er maar een klein deel mee op.
Ook gebruik je nog geen salt...

Citaat van K.Rens

Vergis ik me?
Of is dit nog altijd niet veilig?

De hash coalision issue werd hiermee niet opgelost, je haalt het nog altijd door md5...
Je lost er maar een klein deel mee op.
Ook gebruik je nog geen salt...

Zijn sha1 en 2 wel veilig?

Citaat van Pat4561

Zijn sha1 en 2 wel veilig?

Nee, je moet sowieso niet enkel een hash gebruiken.

Ik gebruik momenteel bcrypt maar heb in het verleden (en nu bij sommige dingen nog steeds) SHA512 met een 64 karakters salt gebruikt.

Citaat van Ferhat.Remory

Ik laat mijn salt hier niet zien, voor de veiligheid ;).

Dan is het alsnog niet veilig, elke user zou een unieke salt moeten hebben

Ok.
Zolang je maar weet dat de code die je hierboven postte nog altijd kraakbaar is voor leden die niet hun wachtwoord opnieuw genereren, zonder gebruik te maken van sha1 of md5.

Je neemt de leden hun vorige wachtwoord als uitgangspunt. Daarin zat toch md5 of sha1?