New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Security: ganti md5 untuk pasword dengan enkripsi lain #588

Closed
telo99 opened this Issue Aug 22, 2017 · 3 comments

Comments

3 participants
@telo99

telo99 commented Aug 22, 2017

Sudah banyak situs yang memberikan fasilitas decrypt md5. Alangkah baiknya jika menggunakan enkripsi lain, password_hash misalnya. (http://php.net/manual/en/function.password-hash.php)
(https://masrud.com/post/password-hash-password-verify)

Salah satu situs database md5: https://hashkiller.co.uk/md5-decrypter.aspx
md5

@hadyanwijaya

This comment has been minimized.

Contributor

hadyanwijaya commented Sep 19, 2017

bisa diusulkan menggunakan ion_auth yang menggunakan bcrypt

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Mar 26, 2018

Berikut ini salinan comment dari PR #875:

  1. Setuju, sebaiknya issue #588 dikerjakan untuk mengurangi celah keamanan OpenSID. Mengenai versi PHP, pendapat kami tidak apa2 kalau kita batasi support hanya pada v5.3.7 ke atas. Apalagi kalau terkait keamanan. Kami akan senang sekali apabila anda sempat menulis ulang PR anda menggunakan library yang lebih umum digunakan. Mungkin gunakan https://github.com/ircmaxell/password_compat? ion_auth sepertinya agak berat dan memerlukan perombakan yg lebih mendasar. Tapi silakan bahas di #588 -- mungkin ada teman2 yg lain yg juga ingin komentar.
  2. Masalah migrasi password user mudah2an akan tidak terlalu berat, karena mudah2an jumlah user di instalasi desa tidak akan terlalu banyak. Tetapi tantangannya adalah banyaknya versi OpenSID yang masih digunakan, dan desa tidak tentu kapan akan upgrade ke versi yg ada bcrypt. Salah satu strategi yang mungkin bisa diterapkan:
    1. user login menggunakan passwordnya, untuk pertama kali saja verifikasi menggunakan md5 yang lama (bisa cek menggunakan kolom tambahan untuk status passwordnya -- atau bisa cek dari panjang password yg di-enkripsi, yang berbeda untuk md5[32 digit]/bcrypt[> 32 digit])
    2. otomatis simpan passwordnya dalam format bcrypt
    3. seterusnya verifikasi menggunakan bcrypt (versi md5 ditimpa)
  3. Coding style di OpenSID saat ini sangat tidak konsisten, dan sering menyulitkan yg melakukan perubahan. Jadi kita perlu mulai untuk menerapkan praktek yang lebih baik. Setiap kali kita menambah file atau mengubah yang sudah ada, sebaiknya kita gunakan coding style standar, dalam hal ini PSR-2.

@eddieridwan eddieridwan changed the title from Usul: ganti md5 untuk pasword dengan enkripsi lain to Security: ganti md5 untuk pasword dengan enkripsi lain Mar 26, 2018

@eddieridwan eddieridwan added this to SEDANG DIKERJAKAN in Rilis yang sedang dikerjakan Mar 26, 2018

eddieridwan added a commit that referenced this issue Apr 2, 2018

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 2, 2018

Sdh dicommit ke master melalui PR #882

@eddieridwan eddieridwan closed this Apr 2, 2018

@eddieridwan eddieridwan moved this from SEDANG DIKERJAKAN to SUDAH DI MASTER in Rilis yang sedang dikerjakan Apr 2, 2018

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment