Как я преобразовываю хеширование пароля от MD5 до SHA?

Думаю, у вас уже есть лучшие возможности. Мне нравится №1 больше, чем №2, так как md5 бесполезен после установки sha.

Невозможно отменить MD5, поэтому вам придется ждать, пока пользователь снова аутентифицируется, чтобы создать новый хэш.

Нет - в основном вам придется держать MD5 на месте до тех пор, пока все пользователи, о которых вы заботитесь, не будут преобразованы. Такова природа хеширования - у вас недостаточно информации для повторного преобразования.

Другой вариант, согласующийся с другими, - это сделать поле пароля эффективно самоописывающим, например

MD5:(md5 hash)
SHA:(sha hash)

Тогда вы могли бы легко определить, какой алгоритм использовать для сравнения, и избежать двух полей. Опять же, вы должны перезаписать MD5 с помощью SHA по мере продвижения.

Вам нужно будет выполнить первоначальное обновление, чтобы все текущие пароли объявлялись как MD5.

Если MD5 не соленые, вы всегда можете использовать сайт дешифрования / радужные таблицы, такие как: http://passcracking.com/index.php , чтобы получить пароли. Однако, вероятно, проще просто использовать метод перекодирования.

Ваше второе предложение кажется мне лучшим. Таким образом, частые пользователи будут иметь более безопасный опыт в будущем.

Первый эффективный "quirks-mode" - это ваша кодовая база, и он только гарантирует, что новые пользователи будут иметь лучший опыт работы с SHA.

You can convert all your MD5 Strings to SHA1 by rehashing them in your DB if you create your future passwords by first MD5ing them. Checking the passwords requires MD5ing them first also, but i dont think thats a big hit.

php-code (login):

prev: $login = (md5($password) == $storedMd5PasswordHash);

after: $login = (sha1(md5($password)) == $storedSha1PasswordHash);

Works also with salting, got the initial idea from here.