Witam. Prowadze serwis i mam już troche zarejestrowanych ludzi chciałbym zmienić kodowanie haseł z md5 na sha1, czy można w jakiś sposób przekodować już istniejące hasła md5 na sha1?

Nie. Możesz co najwyżej ustawić użytkownikom losowe hasła zakodowane w SHA1, przesłać im je w mailingu i poprosić, żeby sobie sami zmienili.

PS. Po co ci ta zmiana?

Możesz ewentualnie zacząć używać:

[PHP] pobierz, plaintext 
<?php
sha1($hasloMD5); // przy zmianach w bazie danych
sha1(md5($haslo)); // przy logowaniu
?>
[PHP] pobierz, plaintext 

Wyczytałem na forum , że jest bezpieczniejsze.

Wymuś na użytkownikach stosowanie haseł co najmniej 6-znakowych, zawierających minimum 1 cyfrę (albo poszperaj na necie za skryptami badającymi "siłę" hasła i nie pozwalaj na zbyt łatwe).
Możesz też dodawać ziarno do hasła przed hashowaniem. Bo jak ktoś ma hasło "dupa", to nawet jak przejdziesz z md5 na sha1 to je ktoś złamie w kilka sekund.

Rozwiązanie nexisa też jest dobre (może zastąpić dodawanie ziarna), tylko pamiętaj że:
sha1( md5( $haslo ) );
jest tak samo trudno złamać jak:
sha1( md5( md5( md5( md5( md5( sha1( sha1( md5( md5( sha1( md5( $haslo ) ) ) ) ) ) ) ) ) ) ) );
więc nie "przesadzaj" z zabezpieczaniem ;]

Dobra dziękuje wszystkim za pomoc.

siema Kicok

przy md5 nawet hasła z liczbami nic nie dają

to spróbuj bruteforce złamac hasło majace okolo 8 znakow i cos wiecej niz tylko litery, to nie wiem czy Ci sie zechce :] nie mówie o rainbow tables bo z tym to żadne hasło nie jest bezpieczne

fakt jest taki, że po otrzymaniu sql z tablicy users (jeszcze nie dawno tego pełno było, teraz trzeba się trochę natrudzić) odkodujesz wiele haseł z wykorzystaniem choćby serwisów takich jak http://md5.rednoize.com/ (nie będę podawał więcej linków)

a resztę dekodujesz sam różnymi sposobami i większość haseł jest Twoja

rzymek01

Ten serwis to tęczowa tablica i sprawdź swoje informacje zanim coś napiszesz.

sry zagalopowałem się