Técnicamente, un usuario no está “utilizando” el hash de contraseña heredado.
Cuando un usuario inicia sesión por primera vez después de una migración y la contraseña no coincide con la contraseña de Discourse (que inicialmente será una cadena aleatoria de caracteres), el plugin realiza su función.
- Verifica si la contraseña ingresada coincide con el campo personalizado
import_passutilizando todos los métodos de hash que conoce. - Si encuentra una coincidencia, guarda la contraseña del usuario y luego elimina el campo personalizado
import_pass.
Por lo tanto, después de unos pocos años, solo los usuarios que no “utilizaron” la contraseña migrada para iniciar sesión todavía tendrán un campo personalizado import_pass.
a) Nunca iniciaron sesión (puedes verificarlo con la fecha de última visita).
b) No utilizaron la contraseña migrada, sino que iniciaron sesión mediante correo electrónico, un método de autenticación diferente, o han restablecido su contraseña.
Acabo de darme cuenta de que la situación b puede introducir un problema de seguridad. Si un usuario no recuerda su contraseña y la cambia, o si utiliza otro método de autenticación, el hash de contraseña migrado seguirá allí y aún podrá usarse junto con la nueva contraseña. Acabo de publicar una actualización del plugin para que limpie el campo personalizado import_pass en cada inicio de sesión exitoso.
Por lo tanto, a partir de ahora, el campo personalizado import_pass solo estará presente en los usuarios que nunca hayan iniciado sesión.