Moodle Hashing-Algorithmus

Ab Version 4.3 verwendet Moodle SHA2-512, um Nutzerkennwörter zu hashen. Siehe MDL-67390

SHA-512 ist ein moderner Hashing-Algorithmus, der von verschiedenen staatlichen Agenturen und Standards anerkannt ist:

"The only approved hashing algorithm is Secure Hashing Algorithm 2 (SHA-2)." - https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism/cyber-security-guidelines/guidelines-cryptography

"NIST recommends that federal agencies transition away from SHA-1 for all applications as soon as possible. Federal agencies should use SHA-2 or SHA-3 as an alternative to SHA-1." - https://csrc.nist.gov/Projects/Hash-Functions/NIST-Policy-on-Hash-Functions

Legacy Hashing

Bis Moodle 2.3 wurde der MD5 Hashing-Algorithmus verwendet, um Nutzerkennwörter zu verschlüsseln. In den Versionen 2.3-4.2 wurde BCRYPT verwendet.

In den Versionen 2.3-4.2 wurden Nutzer/innen mit einem MD5-Hash-Kennwort beim Anmelden auf den BCRYPT-Algorithmus umgestellt. Ab Moodle 4.3 werden alle verbliebenen MD5-Hash-Kennwörter in der Moodle-Datenbank durch einen zufälligen SHA-512 String ersetzt (also bei allen Nutzer/innen, die sich seit Moodle 2.3 nicht mehr angemeldet haben). Alle Nutzer/innen, auf die das zutrifft, müssen ihr Kennwort neu setzen, damit sie sich weiter in Moodle anmelden können.

Ab Moodle 4.3 werden Nutzer/innen mit einem BCRYPT-Hash-Kennwort beim nächsten Anmelden auf den SHA-512-Algorithmus umgestellt.