Organizzare password in previsione di un futuro cambiamento

[Alhazred]

Sto realizzando un'applicazione web che richiede registrazione e coneguente login.
Il problema è che in un futuro non ancora definito si dovrà probabilmente aggiungere un forum (forse phpbb, ma neanche questo è ancora certo) e il login dovrà essere comune.

Se adesso prevedo di criptare le password, quando verrà aggiunto il forum non ci sarà modo di importare gli utenti già registrati e questi saranno costretti a dover modificare la password in modo che la funzione di modifica gestisca l'inserimento nel db del forum.
Se invece lasciassi le password in chiaro sarebbe tutto facile, ma lasciare le password in chiaro non è una gran cosa.

Come mi converrebbe affrontare il problema?

[oly1982]

Sono interessato all'argomento.

rispondo solo per registrarmi alla discussione per ricevere aggiornamenti via email.

[micdas]

Interessante questione anche per me Alhazred
Anche a me piacerebbe vedere come viene risolto il problema.
Ho affrontato il problema con un pacchetto di iscrizione a corsi ed alla fine mi sono arreso, anche perchè lo stesso pacchetto non mi interessava più di tanto.

Se invece lasciassi le password in chiaro sarebbe tutto facile, ma lasciare le password in chiaro non è una gran cosa.

Se può servire ci si potrebbe comportare in questa maniera.
2 tabelle
una "user" coi campi: id, user_name, password_cript
una "user_hidden" coi campi: id, id_user, password
la prima viene usata per il login e la password registrataè criptata
la seconda viene usata dal solo admin per le operazioni che eventualmente deve eseguire sull'utente registrato
in questa seconda tabella, tanto per ingarbugliare la visualizzazione dei dati, è descritto il solo ID dell'utente che fa riferimento alla prima tabella.
Mi verrebbe in mente un suggerimento (che non so come applicare). Si potrebbe vedere come viene registrato (session, cookie) dal pacchetto esterno e usare le stesse variabili

[Alhazred]

La mia idea attuale sarebbe quella di inventarmi un mio algoritmo di criptaggio reversibile, in questo modo potrei avere le password criptate e riottenere le password in chiaro quando mi servirà.
Tanto se l'algoritmo di criptaggio lo faccio io credo che difficilmente potrà essere forzato, anche perché chi dovesse provarci penserà a sistemi di criptaggio come md5, sha1 e compagnia bella, non ad uno fatto ad hoc.

[Enjix]

Originariamente inviato da Alhazred
La mia idea attuale sarebbe quella di inventarmi un mio algoritmo di criptaggio reversibile, in questo modo potrei avere le password criptate e riottenere le password in chiaro quando mi servirà.
Tanto se l'algoritmo di criptaggio lo faccio io credo che difficilmente potrà essere forzato, anche perché chi dovesse provarci penserà a sistemi di criptaggio come md5, sha1 e compagnia bella, non ad uno fatto ad hoc.

Salve a tutti e scusate se mi intrometto nella discussione.
L'idea di criptare in modo reversibile le password potrebbe essere una possibile soluzione... ma, almeno secondo il mio parere, non la più sicura, soprattutto se si usa un algoritmo segreto. Se proprio non vuoi pubblicare l'algoritmo che vuoi usare, almeno cerca di farlo testare a persone di cui ti fidi (amici, colleghi...) prima di inserirlo come sistema di crittografia del sito. Il confronto con altri ti aiuterà a trovare eventuali falle presenti nel sistema crittografico. Nel frattempo, potresti usare algoritmi come Blowfish o Serpent

[deleted_110]

ma non puoi utilizzare lo stesso algoritmo che usa phpbb? (che da una letta in giro sembra essere md5)