maximus/Simpl-Resultat
1
0
Fork 0
Code Issues 4 Pull requests Projects Releases 19 Packages Wiki Activity Actions

fix: migrate PIN hashing from SHA-256 to Argon2id #54

New issue
Closed
opened 2026-04-09 01:55:38 +00:00 by maximus · 0 comments
maximus commented 2026-04-09 01:55:38 +00:00
Owner
Copy link

Contexte

Vulnérabilité pré-existante identifiée lors de la review du spec-monetisation.
Le PIN hashing dans profile_commands.rs utilise SHA-256 salé (hash rapide). Un PIN de 4-6 chiffres avec SHA-256 est brute-forceable trivialement (~1M combinaisons).
Ref : CWE-916 (Use of Password Hash With Insufficient Computational Effort)

Tâches

  • Migrer hash_pin/verify_pin de SHA-256 vers Argon2id (le crate argon2 est déjà une dépendance via export_import_commands.rs)
  • Rester compatible avec les PINs existants : détecter l'ancien format (salt:hash) et re-hasher en Argon2id à la prochaine vérification réussie
  • Tests unitaires : ancien format reconnu, nouveau format utilisé pour les nouveaux PINs, migration transparente

Impact

Critique pour la sécurité locale, surtout avec l'ajout de tokens OAuth en Phase 2.

## Contexte Vulnérabilité pré-existante identifiée lors de la review du spec-monetisation. Le PIN hashing dans `profile_commands.rs` utilise SHA-256 salé (hash rapide). Un PIN de 4-6 chiffres avec SHA-256 est brute-forceable trivialement (~1M combinaisons). Ref : CWE-916 (Use of Password Hash With Insufficient Computational Effort) ## Tâches - [ ] Migrer `hash_pin`/`verify_pin` de SHA-256 vers Argon2id (le crate `argon2` est déjà une dépendance via export_import_commands.rs) - [ ] Rester compatible avec les PINs existants : détecter l'ancien format (`salt:hash`) et re-hasher en Argon2id à la prochaine vérification réussie - [ ] Tests unitaires : ancien format reconnu, nouveau format utilisé pour les nouveaux PINs, migration transparente ## Impact Critique pour la sécurité locale, surtout avec l'ajout de tokens OAuth en Phase 2.
maximus added this to the spec-monetisation milestone 2026-04-09 01:55:38 +00:00
maximus added the
status:ready
type:security
source:human
 labels 2026-04-09 01:55:38 +00:00
maximus added
status:in-progress
 and removed
status:ready
 labels 2026-04-09 04:00:13 +00:00
maximus added
status:review
 and removed
status:in-progress
 labels 2026-04-09 04:03:15 +00:00
maximus added
status:needs-fix
 and removed
status:review
 labels 2026-04-09 05:00:35 +00:00
maximus added
status:in-progress
 and removed
status:needs-fix
 labels 2026-04-09 06:00:12 +00:00
maximus added
status:review
 and removed
status:in-progress
 labels 2026-04-09 06:05:21 +00:00
maximus added
status:needs-fix
 and removed
status:review
 labels 2026-04-09 09:02:31 +00:00
maximus added
status:in-progress
 and removed
status:needs-fix
 labels 2026-04-09 10:00:20 +00:00
maximus added
status:review
 and removed
status:in-progress
 labels 2026-04-09 10:02:39 +00:00
maximus added
status:needs-fix
 and removed
status:review
 labels 2026-04-09 11:01:00 +00:00
maximus added
status:in-progress
 and removed
status:needs-fix
 labels 2026-04-09 12:00:14 +00:00
maximus added
status:review
 and removed
status:in-progress
 labels 2026-04-09 12:01:23 +00:00
maximus added
status:approved
 and removed
status:review
 labels 2026-04-09 12:29:03 +00:00
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
main
issue-67-feedback-widget
issue-97-cartes-page
issue-96-compare-refactor
issue-51-compte-maximus-oauth
issue-46-license-commands-entitlements
issue-48-gate-auto-updates
issue-47-license-ui-card
fix/simpl-resultat-54-argon2id-pin
fix/simpl-resultat-59-bump-vite
issue-43-update-picomatch
fix/simpl-resultat-41-category-time-report-filter
fix/simpl-resultat-31-dashboard-month-dropdown
fix/simpl-resultat-29-budget-visual-adjustments
fix/simpl-resultat-23-dashboard-category-ordering
fix/simpl-resultat-16-prev-year-budget
fix/simpl-resultat-19-tooltip-transparency
fix/simpl-resultat-17-remove-piechart-title
fix/simpl-resultat-16-budget-previous-year
v0.8.2
v0.8.1
v0.8.0
v0.7.4
v0.7.3
v0.7.2
v0.7.1
v0.7.0
v0.6.7
v0.6.6
v0.6.5
v0.6.4
v0.6.3
v0.6.2
v0.6.1
v0.6.0
v0.5.2
v0.5.0
v0.4.2
v0.4.0
v0.3.11
v0.3.10
v0.3.9
v0.3.8
v0.3.7
v0.3.6
v0.3.5
v0.3.4
v0.3.3
v0.3.2
v0.3.1
v0.3.0
v0.2.12
v0.2.11
v0.2.10
v0.2.9
v0.2.8
v0.2.7
v0.2.6
v0.2.5
v0.2.4
v0.2.3
v0.2.2
v0.2.1
v0.2.0
v0.1.2
v0.1.1
v0.1.0
Labels
Clear labels   
source:analyste

Créée par le Super-Analyste

  
source:defenseur

Créée par l Escouade Défenseur

  
source:human

Créée par un humain

  
source:medic

Créée par le Medic (auto-détection)

  
status:approved

PR approuvée, prête à merger

  
status:blocked

Bloquée (question, dépendance, clarification)

  
status:in-progress

Un agent (Medic/Dev) travaille dessus

  
status:needs-fix

Reviewer demande des corrections

  
status:ready

Analysée et documentée, prête à prendre

  
status:review

PR créée, en attente du Reviewer

  
status:triage

Nouvelle issue, pas encore analysée

  
type:bug

Correction de bug → Medic

  
type:feature

Nouvelle fonctionnalité → Dev

  
type:infra

Config, CI/CD, déploiement → Dev

  
type:refactor

Refactoring / amélioration technique → Dev

  
type:schema

Modèle de données / migrations → Dev

  
type:security

Issue de sécurité → Medic ou Dev

No labels
source:analyste
source:defenseur
source:human
source:medic
status:approved
status:blocked
status:in-progress
status:needs-fix
status:ready
status:review
status:triage
type:bug
type:feature
type:infra
type:refactor
type:schema
type:security
Milestone
Clear milestone
No items
No milestone
spec-monetisation
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#54
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?