Dans la continuité de mon précédent article sur le hashage des mots de passe, votre application (sous Symfony ou autre) utilise peut-être MD5 ou BCrypt. Cet article a pour but de vous expliquer comment convertir vos mots de passe encryptés de manière non sécurisée vers une méthode plus sécurisée (BCrypt ou Argon2 utilisé ici) sous Symfony (Flex). Pour résoudre le problème, nous allons faire une conversion à la volée lorsque l'utilisateur se connecte. Toutefois, si votre application est critique, il peut être préférable de passer par une étape intermédiaire consistant à immédiatement fair

 

Je ne vais évidemment pas ici expliquer qu'un mot de passe ne doit pas être stocké en clair, ce n'est pas le propos. Mais en tant que développeurs, nous faisons face à un besoin de mise à jour constante et il m'arrive encore de travailler ou reprendre des projets où les mots de passe sont stockés en clair ! Une fois cette sombre histoire du développement web passé, il fut un temps où stocker l'empreinte d'une fonction de hashage d'un mot de passe avec MD5 ou SHA-1 fut très apprécié reconnaissons-le. C'était simple, efficace et cela permettait d'empêcher à un attaquant de connaître le mot