.werks/6846

   1 Title: More secure password hashing
   2 Level: 2
   3 Component: multisite
   4 Compatible: compat
   5 Edition: cre
   6 Version: 1.6.0i1
   7 Date: 1540187529
   8 Class: security
   9
  10 Passwords of local users of the Check_MK GUI are now hashed using SHA256
  11 (salted, 535000 rounds) to increase the security of the stored user logon
  12 passwords.
  13
  14 All existing users will still be able to login using their already hashed
  15 passwords. Once a user changes his password or a new user is created, these
  16 will be hashed using the new algorithm.
  17
  18 Why SHA256? Check_MK supports different authentication frontends for verifying
  19 the local credentials: a) basic authentication (done by apache) and b) the GUI
  20 form + cookie based authentication.
  21
  22 The default is b). This option is toggled with the "omd config" option
  23 MULTISITE_COOKIE_AUTH. In case the basic authentication is chosen it is only
  24 possible to use hashing algorithms that are supported by apache which
  25 performs the authentication in this situation.
  26
  27 For best compatibility in all mentioned situations we use the SHA256 scheme.