Bonjour à tous,
J'essaie de comprendre le principe de l'application d'un "salt" comme mesure supplémentaire de protection lors de l'authentification.
J'ai lu des explications sur ce site : http://www.opensecuritylab.org/stori...ng-salt-in-php
Mais je ne comprend toujours pas en quoi ce système sécuritaire.
Suppossons une table
Utilisateur
MotDePasse
Salt
Mon utilisateur écrit le mot de passe : ABCDE
Je lui applique après un salt disons : '123456789987654321';
Ce qui me donne comme chaîne : ABCDE123456789987654321
Ce qui donne bien entendu, un hashing différent de ABCDE, mais dans ma validation qui valide si l'utilisateur / mot de passe est bien le bon, je vais quand même recevoir le mot de passe ABCDE, lui appliquer le Salt sauvegarder en mémoire pour comparer les hash non ?
Donc si un script essaie avec un dictionnaire, la chaine ABCDE. Ma validation, va considèrer comme correct le mot de passe.... Non ?
Merci d'éclairer ma lanterne, car je voudrais bien améliorer la sécurité de mes usagers mais je ne comprends bien cette méthode....
Partager