Retrouver mot de passe Md5

Fooshi · 24/06/2011, 15h17

Bonjour,
je suis en train de code une gestion de client, dans ma base de donnée mes mots de passe sont codés en md5 pour plus de sécurité mais comment retrouver le mot de passe en clair par la suite si l'utilisateur a perdu son mot de passe ?
merci d'avance

Benjamin Delespierre · 24/06/2011, 16h04

Il faut le stocker en clair ailleurs, md5 ne te permet pas de décrypter.

grunk · 24/06/2011, 16h04

MD5 est un hash pas un cryptage , il n'est donc pas réversible.

Dans la pratique ce n'est pas tout à fait vrai puisqu'il existe des grosse BDD avec de multiple correspondance (rainbow table).

Il faut donc regénérer un nouveau mot de passe

s.n.a.f.u · 24/06/2011, 18h36

Citation:

Envoyé par grunk

Il faut donc regénérer un nouveau mot de passe

+1

Tu n'as pas à le retrouver, c'est le but du hash : que même une personne avec un accès à la base ne connaisse pas ton mot de passe.

Lorsqu'un mot de passe est stocké en clair, il s'agit pour moi d'un problème de sécurité : beaucoup de personnes utilisent les mêmes mots de passe pour leur email, leur compte bancaire, etc...
Ce qui veut dire que si tu as accès à la base de données tu peux essayer de cracker la cyber identité de la personne.

Pour info par exemple, materiel.net stocke en clair. Je trouve ça honteux. J'ai eu beau leur signaler, ils continuent visiblement cette pratique.

Un test simple : si tu as oublié ton mot de passe et que l'on peut te le renvoyer par mail, alors c'est foutu.

grunk · 27/06/2011, 08h50

Citation:

Un test simple : si tu as oublié ton mot de passe et que l'on peut te le renvoyer par mail, alors c'est foutu.

C'est pas forcément vrai , il peut très bien être crypté. Un mot de passe en AES ou en SHA ca se vaut tant que la clé de l'AES n'est pas compromise

s.n.a.f.u · 27/06/2011, 17h08

Citation:

Envoyé par grunk

C'est pas forcément vrai , il peut très bien être crypté. Un mot de passe en AES ou en SHA ca se vaut tant que la clé de l'AES n'est pas compromise

Vu de l'extérieur, oui.
Mais le simple fait qu'un développeur en interne puisse consulter tes mots de passe signifie qu'ils peuvent être compromis.

manticore · 27/06/2011, 22h15

+1 snafu

je suis complétement d'accord avec moi, je ne supporte pas le fait qu'un site détiennent mes mots de passes. Même en utilisant un cryptage symétrique, si le site est compromis ton mot de passe l'est aussi.

Il faut absoluement utiliser une fonction de hachage forte pour stocker ces mots de passes.

Et il serait mieux de passer en sha256-sha512 plutot que du md5 qui n'assure plus une protection suffisante à mon goût

s.n.a.f.u · 27/06/2011, 23h26

Citation:

Envoyé par mormengil

je suis complétement d'accord avec moi

Tu m'en vois ravi !

ABCIWEB · 28/06/2011, 02h32

@Fooshi

Oui donc à la lumière de ce qui vient d'être dit, plutôt que de stocker l'original non hashé, il serait mieux de le stocker hashé - comme actuellement en md5 ou mieux en SHA256 - et en cas de perte d'envisager la création automatique d'un nouveau mot de passe et de l'envoyer par mail, genre avec un lien de validation et une date de validité.

Cela fait beaucoup plus de travail mais le système est plus sécurisé dans son ensemble. Et c'est d'ailleurs ce système que l'on retrouve actuellement le plus souvent.

Sinon le cryptage reste une bien meilleure protection par rapport au stockage en clair, mais comme déjà dit, il peut subsister des failles (par exemple humaines et mal intentionnées qui pirateraient ton serveur, et auraient donc accès aux infos nécessaires pour le décryptage).

24/06/2011, 15h17	#1
Fooshi Membre habitué Inscription : juin 2002 Messages : 346 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : juin 2002 Messages : 346 Points : 125 Points : 125	Retrouver mot de passe Md5 Bonjour, je suis en train de code une gestion de client, dans ma base de donnée mes mots de passe sont codés en md5 pour plus de sécurité mais comment retrouver le mot de passe en clair par la suite si l'utilisateur a perdu son mot de passe ? merci d'avance __________________ Ingénieur R&D Casual Gaming / Mobile
	00

24/06/2011, 16h04	#2
Benjamin Delespierre Modérateur Benjamin Delespierre Développeur Web Inscription : février 2010 Messages : 2 984 Détails du profil Informations personnelles : Nom : Benjamin Delespierre Âge : 24 Localisation : France Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Opérateur de télécommunications Informations forums : Inscription : février 2010 Messages : 2 984 Points : 5 011 Points : 5 011	Il faut le stocker en clair ailleurs, md5 ne te permet pas de décrypter. __________________ A la recherche d'un framework MVC facile a prendre en main ? Essayez Axiom Nouveau: la référence d'Axiom est disponible sur GitHub (je la peaufine en ce moment même). Un problème correctement identifié est à moitié résolu, évitez de poster l'intégralité de votre code avec pour seule explication "ça ne marche pas...". Pour identifier correctement vos problèmes PHP, utilisez la gestion des erreurs et xdebug. Les boutons et existent, servez-vous en
	00

24/06/2011, 16h04	#3
grunk Expert Confirmé Olivier Développeur Web Inscription : août 2003 Messages : 1 837 Détails du profil Informations personnelles : Nom : Olivier Âge : 27 Localisation : France, Côte d'Or (Bourgogne) Informations professionnelles : Activité : Développeur Web Secteur : Industrie Informations forums : Inscription : août 2003 Messages : 1 837 Points : 3 318 Points : 3 318	MD5 est un hash pas un cryptage , il n'est donc pas réversible. Dans la pratique ce n'est pas tout à fait vrai puisqu'il existe des grosse BDD avec de multiple correspondance (rainbow table). Il faut donc regénérer un nouveau mot de passe
	00

27/06/2011, 22h15	#7
manticore Membre habitué Marc Ingénieur sécurité Inscription : novembre 2009 Messages : 142 Détails du profil Informations personnelles : Nom : Marc Informations professionnelles : Activité : Ingénieur sécurité Informations forums : Inscription : novembre 2009 Messages : 142 Points : 129 Points : 129	+1 snafu je suis complétement d'accord avec moi, je ne supporte pas le fait qu'un site détiennent mes mots de passes. Même en utilisant un cryptage symétrique, si le site est compromis ton mot de passe l'est aussi. Il faut absoluement utiliser une fonction de hachage forte pour stocker ces mots de passes. Et il serait mieux de passer en sha256-sha512 plutot que du md5 qui n'assure plus une protection suffisante à mon goût
	00

28/06/2011, 02h32	#9
ABCIWEB Membre Expert Inscription : septembre 2010 Messages : 1 242 Détails du profil Informations forums : Inscription : septembre 2010 Messages : 1 242 Points : 1 564 Points : 1 564	@Fooshi Oui donc à la lumière de ce qui vient d'être dit, plutôt que de stocker l'original non hashé, il serait mieux de le stocker hashé - comme actuellement en md5 ou mieux en SHA256 - et en cas de perte d'envisager la création automatique d'un nouveau mot de passe et de l'envoyer par mail, genre avec un lien de validation et une date de validité. Cela fait beaucoup plus de travail mais le système est plus sécurisé dans son ensemble. Et c'est d'ailleurs ce système que l'on retrouve actuellement le plus souvent. Sinon le cryptage reste une bien meilleure protection par rapport au stockage en clair, mais comme déjà dit, il peut subsister des failles (par exemple humaines et mal intentionnées qui pirateraient ton serveur, et auraient donc accès aux infos nécessaires pour le décryptage). __________________ - Réalisations - Interface graphique : génération en javascript d'objets défilants, texte et/ou images, mode horizontal ou vertical.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email