Waarom niet een controle, hou de oude password aan en maak een extra field (password_new).
Als "password_new" leeg is herschrijf je hem naar de nieuwe hash, en is hij niet leeg controleer je de nieuwe hash.
Zo kan je ook een beetje je actieve leden in de gaten houden 
Zeker geen md5 gebruiken!
Verder kun je enkel een nieuw wachtwoord genereren in een extra kolom en dan meteen het oude wissen in de db.
Je kan iets cools of gratis maken, melden via mail en hopen dat er velen terug inloggen...
Leden meteen na het inloggen hun wachtwoord laten veranderen.
En dan in de db ergens een boxje met "password_changed" op true zetten...
Dan kijk je in je inlog script of het al verandert is of niet en dan kan je aan de hand daarvan een andere codering gebruiken
Maar dan zijn de iets onveilige passwords er nog.
Zou ik dit niet met SQL kunnen doen dat alle leden hun md5 gewijzigd wordt naar een nieuwe hash, op de md5?
Het feit dat je nog een oude hash gebruikt is je eigen fout al, gewoon je leden mailen dat hun wachtwoord éénmalig gecontroleerd moet worden.
ik gaf als vb dat het md5 was. Ik weet dat MD5 gekraakt is. Ik denk niet dat ik zomaar ga zeggen hoe ik het beveilig.
Ik zeg ook nergens dat het MD5() is, maar het feit dat je al aangeeft dat er een slechte hash achter zit geeft aan dat je een oplossing wilt.
Wij geven je een oplossing voor een probleem hoe wij die zouden oplossen, en ik denk dat dit de meest logische is.
Denk dat dit zo beetje de beste oplossing is voor je probleem, zal niet de enigste zijn maar wel de meest simpele.
Zo controleer je nog éénmalig het oude onveilige wachtwoord, hierna heb je dat niet meer nodig want dan check je alleen de nieuwe hash nog.
En wanneer alles overgezet is kan je het oude veld verwijderen, maar dat is afhankelijk of je leden wel inloggen, anders blijft hij bestaan.
Maar dan zijn de iets onveilige passwords er nog.
Zou ik dit niet met SQL kunnen doen dat alle leden hun md5 gewijzigd wordt naar een nieuwe hash, op de md5?
Nee, dat kan niet. 
Het moment dat de gebruiker inlogt is de enige manier waarbij je toegang hebt tot het "echte wachtwoord". Als jij al je wachtwoorden vanuit de database om zou zetten, zou overal die andere beveiliging dubbel overheen staan.
Het is wel mogelijk om het er bovenop te doen, maar met 5000+ leden zal dat wel even duren.
Blowfish encryption (Bcrypt)
@victor
Voor mij zegt dat niks..
Blowfish encryption (Bcrypt)
Kan je misschien voor mij en andere, uitleggen wat dit is en hoe dit werkt? Of wellicht een linkje?
Zoekwoord: bcrypt
2e hit: How do you use bcrypt for hashing passwords in PHP? - Stack Overflow
Sha1 kan toch ook? Is volgens mij ook wel redelijk veilig.
Sha1 kan toch ook? Is volgens mij ook wel redelijk veilig.
Nee, sha1 wordt ook steeds onveiliger
Heb je nog geen account? Registreer je nu en word deel van onze community!