Uso de hash más fuerte para almacenar contraseña de usuario de API

CRLibre / API_Hacienda

API libre para Factura Electrónica en Costa Rica, interfaz para integrar sistemas con el Ministerio de Hacienda para la Facturación Electrónica

https://crlibre.org/factura-electronica/

GNU Affero General Public License v3.0

166 stars 122 forks source link

Uso de hash más fuerte para almacenar contraseña de usuario de API #20

Open eliastorres opened 6 years ago

eliastorres commented 6 years ago

Actualmente las contraseñas de los usuarios del API de almacenan con un hash usando la función md5()

Abro este issue para migrar mejorar el código y pasarlo a password_hash() y/o crypt(), idealmente con soporte para varios tipos de hash en caso de que se requiera migrar de uno a otro o mover entre servidores con plataformas distintas.

El uso de password_hash() crea requerimiento técnico (PHP 5 >= 5.5.0, PHP 7) que hay que documentar.

walner1borbon commented 6 years ago

Se integra open SSL con aes-256-cbc y se elimina el MD5 En la imagen se muestra la misma clave en 2 tipos de cifrado. El primero es MD5 El segundo es aes-256-cbc, los key de encriptacion se deben agregar en el settings.php del www

walner1borbon commented 6 years ago

Se agrego un password_hash

eliastorres commented 6 years ago

Como sugerencia podríamos evitar cifrar el hash ya que no es necesario por temas de seguridad y simplifica las dependencias del proyecto, ver por ejemplo issue #26