[Sécurité] principe du md5 [Résolu]

yanice · 03/06/2006, 15h12

bonjour,
j'aimerai avoir quelques explications concernant le md5. je n'ai pas réussi à trouver ce que je cherchais dans les faq et les tuto.
je crée un système d'identification login/password pour mon site.

lors de l'inscription, l'utilisateur entre son password dans un champ dont le contenu est envoyé par la méthode POST vers un fichier qui le crypte en md5 et l'insère dans ma bdd.

lorsque, ce même utilisateur veux s'identifier sur mon site, il entre son password dans un champ. mais que dois-je faire avec le contenu de celui-ci?
si je le crypte également en md5 puis que je vérifie qu'il correspond bien au hash entré lors de l'insription il n'y aura pas de problème puisqu'on obtient toujours le même hash.
mais alors, je ne vois pas l'intérêt de crypter le password? si quelqu'un de malveillant intercepte le md5, cela revient au même que de lui donner le password non-crypté?! et une fois qu'il a accès à la bdd peu lui importe de connaître ce que vaut réellement le hash?!

je ne sais pas si j'ai été très clair et à mon avis il y a quelquechose qui m'échappe, si vous pouvez m'expliquer...? et comment faire pour utiliser le md5 correctement?
merci d'avance

gorgonite · 03/06/2006, 15h41

en fait, cela permet de :
- assurer la sécurité des accès même en cas de vol de la bdd
- comparer les md5, ce qui permet d'être à peu près sûr que le mot de passe d'origine est le même (mais ce n'est un pas cryptage, c'est un hash)

03/06/2006, 15h12	#1
yanice Membre du Club Inscription : mai 2006 Messages : 142 Détails du profil Informations forums : Inscription : mai 2006 Messages : 142 Points : 54 Points : 54	[Sécurité] principe du md5 bonjour, j'aimerai avoir quelques explications concernant le md5. je n'ai pas réussi à trouver ce que je cherchais dans les faq et les tuto. je crée un système d'identification login/password pour mon site. lors de l'inscription, l'utilisateur entre son password dans un champ dont le contenu est envoyé par la méthode POST vers un fichier qui le crypte en md5 et l'insère dans ma bdd. lorsque, ce même utilisateur veux s'identifier sur mon site, il entre son password dans un champ. mais que dois-je faire avec le contenu de celui-ci? si je le crypte également en md5 puis que je vérifie qu'il correspond bien au hash entré lors de l'insription il n'y aura pas de problème puisqu'on obtient toujours le même hash. mais alors, je ne vois pas l'intérêt de crypter le password? si quelqu'un de malveillant intercepte le md5, cela revient au même que de lui donner le password non-crypté?! et une fois qu'il a accès à la bdd peu lui importe de connaître ce que vaut réellement le hash?! je ne sais pas si j'ai été très clair et à mon avis il y a quelquechose qui m'échappe, si vous pouvez m'expliquer...? et comment faire pour utiliser le md5 correctement? merci d'avance
	00

03/06/2006, 15h41	#2
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	en fait, cela permet de : - assurer la sécurité des accès même en cas de vol de la bdd - comparer les md5, ce qui permet d'être à peu près sûr que le mot de passe d'origine est le même (mais ce n'est un pas cryptage, c'est un hash) __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email