[FEATURE] Add TCA 'saltedPassword' eval for type=input
[Packages/TYPO3.CMS.git] / typo3 / sysext / core / Documentation / Changelog / master / Important-85683-DoppedSaltedpasswordOptions.rst
1 .. include:: ../../Includes.txt
2
3 ====================================================
4 Important: #85683 - Dropped salted passwords options
5 ====================================================
6
7 See :issue:`85683`
8
9 Description
10 ===========
11
12 Some extension configuration of the salted passwords extension has been dropped:
13
14 - FE.forceSalted and BE.forceSalted
15   By explicitly setting forceSalted to 1 (default 0) in the saltedpasswords extension configuration it was possible to
16   deny login of users who had not stored their password as salted password yet. This option has been removed.
17   User who have been upgraded to salted passwords using the "Convert user passwords to salted hashes" from
18   core version 8 are still able to login and will get their passwords updated to the configured salted password
19   mechanism upon first successful login. This upgrade will be dropped in core version 10. Other non salted passwords
20   mechanisms (simple md5 or plaintext) will however lead to a failed login. Administrators who did not yet upgrade
21   their user base to salted passwords must perform the "Convert user passwords to salted hashes" in core
22   version 7 or version 8 before upgrading to v9.
23
24 - FE.updatePasswd and BE.updatePasswd
25   By explicitly setting updatePasswd to 0 (default 1) in the saltedpasswords extension configuration it was possible
26   to avoid updating a given hashed password to the currently configured hash algorithm, but still allow login. This option has
27   been dropped: A user submitting a valid password using an old salted passwords algorithm that is no longer configured
28   as current salted passwords algorithm will always get his password updated and stored using the currently
29   configured password salt.
30
31 - FE.onlyAuthService and BE.onlyAuthService
32   By explicitly setting onlyAuthService to 1 (default 0), it was possible to deny any further authentication service
33   to successfully validate a user. This setting is mostly useless since any different authentication service is usually
34   configured to kick in before the native TYPO3 internal authentication service. It does not make sense to have this toggle
35   and a search in open extensions revealed no usage. On upgrading to v9, if you are running additional authentication services,
36   please verify those have a higher priority than the default :php:`SaltedPasswordService`, action is only needed if
37   additionally onlyAuthService has been set to 1 in salted passwords configuration, which is probably never the case.
38
39
40 .. index:: Backend, Database, Frontend, ext:saltedpasswords