Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[Sécurité] Cryptage MD5 et sécurité ?
Bonjour à tous,
je suis en train de faire une classe "user" pour la gestion des accès sécurisés, et je me pose des questions sur les meilleurs cryptages...
j'utilise 2 méthodes qui sont le crypt() de php avec le "salt", et le MD5.
Je n'ai pas du tout confiance avec le MD5, qui semble pourtant une référence.
On sait que que logiciels de password crackers en viennent à bout.
Qu'en pensez-vous ? et pendant qu'on y est, que pensez-vous de la fonction crypt() ?
Merci de vos éclaircissements.
C'est curieux chez les marins ce besoin de faire des phrases !
salut
le probleme ne vient pas tant du principe de cryptage bien que md5(est un hash), mais vient des mots de passe utilisateur bien souvent trop light
je pense que le mieux est d'utilisé une classe disons Sécurité afin que ta class user ne depande pas du type de cryptage que tu utilise
personnelemnet j'utilise sha1
C'est vrai, les pb de sécurité viennent souvent du choix des mots de passe trop lights...
J'ai prévu un dictionnaire des mots de passe courants (16000 mots de passe) qui est parcouru quand 1 utilisateur change son mot de passe. Si son mot de passe est dedans, c'est pas accepté et l'utilisateur doit en choisir 1 autre...
C'est curieux chez les marins ce besoin de faire des phrases !
t'as pas à avoir peur, il ne fonctionne ke dans un seul sens le MD(hashage)
Le forum est là pour ceux qui ont déjà passé des heures et des heures à chercher la petite bête et qui n'ont pas encore trouvé le moyen de l'attraper...
le seul probléme a mon sens du md5 s'est que des hackers en ont fait des base de données .....
A savoir toutes les bases peuvent avoir se probléme , si une personne souhaite hacker les mot de passe ...
S'est pourquoi , tout les utilisateur , doivent savoir qui ne faut jamais toujours métre le méme mot de passe ....
Tu as raison WKD, mais ce qui m'inquiète c'est l'efficacité des logiciels de crackage par "brute force" pour ce genre de cryptage...
Et qui marchent plutôt bien...
Et là je rejoins l'avis de jeff_!, plus le mot de passe est robuste, plus le mdp est long à trouver.
C'est curieux chez les marins ce besoin de faire des phrases !
En utilisant un salt tu rends obsolète le dico.
Pourquoi le dico est obsolète ?
La vérif se fait comme ça:
l'utilisateur entre son nouveau mot de passe.
Avant l'envoi du formulaire, son mot de passe est encrypté en MD5 par javascript.
la vérif se fait côté serveur sur un dico MD5 par rapport au mot de passe reçu et déjà encrypté en MD5.
S'il n'y a pas de similarité, on encrypte le mot de passe (déjà en MD5) avec crypt() et on insert dans la base.
Donc le salt est utilisé après la vérif du dico.
Ca doit marcher, non ?
C'est curieux chez les marins ce besoin de faire des phrases !
Salut à tous,
le salt est utile parce que sans lui, si tu trouves l'algorithme de chiffrement utilisé, tu peux déchiffrer tous les mot de passes de ta bdd.
=> utile si ton serveur mysql a été hacké...
Avec le salt, tu connais uniquement le chiffrement d'un seul mdpasse, les autres ne sont donc pas compromis (n'oublie pas que même avec un mdpasse crypté, tu peux t'authentifer!!)
Tu peux aussi aller voir là, ils expliquent la technique du grain de sel un peu mieux que moi...
Sinon va voir là, ya la base pour un site sécurisé (avec un minimum d'effort...).
oula, tu veux pas lui dire quels sont tes accès root au passage ?Avant l'envoi du formulaire, son mot de passe est encrypté en MD5 par javascript.
Sachant qu'aucne méthode n'est sur travail par obsfucation autant que possible. Donc hash le pass coté serveur. Et utilise SSL pour ne pas envoyer le password en clair si tu flippes tant que cela.
Pour ce qui est de l'utilisation du salt dans ce cas précis, c'est juste l'ajout d'un ou N caractères en fin de password lorsque c'est en clair, puis de le hasher.
Ainsi en utilisant un salt tels TTFGKFDKG et un pasword light tels que toto, le hashage se fera sur : totoTTFGKFDKG
Ce qui est beaucoup plus compliqué à casser avec un dico, et autant plus compliquè à casser par un brute force, surtout par internet.
Après tu l'auras compris il n'y à plus qu'à comparé l'empreinte enregistré dans la base donnée avec le password modifié avec ton salt privé puis hasher pour savoir si le mot de passe fournit correspond à l'utilisateur.
crypt est à oublié.
Je hash côté client et côté serveur. Le MD5 côté client n'est qu'une sécurité (partielle) supplémentaire. J'aime pas trop ça (+ ça va et moins j'utilise le javascript, il n'y a que le côté serveur de vraiment stableEnvoyé par ePoX
Quant à crypt(), effectivement j'ai oublié... sha1 avec un salt, ça me paraît bien.
C'est curieux chez les marins ce besoin de faire des phrases !
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager