[Sécurité] Cryptage mot de passe [Fait]

elitemedia · 12/09/2006, 21h12

Salut,

Pour une application assez simple de zone membre, je ne veux pas tomber dans la paranoia de la sécurité, juste qu'on ne puisse pas retrouver les mots de passe de mes utilisateurs. J'ai donc fais le choix de les stocker en Base de données.

Ma question porte sur les différences entre MD5 et la fonction crypt.
Sachant que Crypt propose un attribut "grain de sel", ne vaut t'il pas mieux l'utiliser plutot que MD5 ?

Sinon, quelle processus en partant de la création du compte de l'utilisateur par lui même vaut t'il mieux que j'envisage pour stocker ces mots de passe ? Je cherche une méthode plutôt que des scripts.

Christophe

Eusebius · 12/09/2006, 21h19

MD5 peut utiliser un grain de sel aussi.
Ca devrait t'intéresser : http://matthieu.developpez.com/authentification/

elitemedia · 12/09/2006, 21h25

oui justement, j'avais lu ca, mais sachant que Crypt intègre ce grain de sel dans ses paramètres, je ne comprends pas pourquoi cette dernière est si peu utilisé dans la plupart des scripts ?

Est-ce que les 2 fonctions ont le même niveau de sécurité ?
Qu'en est t'il de Sha1 également ?

Eusebius · 12/09/2006, 21h28

Citation:

Envoyé par elitemedia

oui justement, j'avais lu ca, mais sachant que Crypt intègre ce grain de sel dans ses paramètres, je ne comprends pas pourquoi cette dernière est si peu utilisé dans la plupart des scripts ?

Est-ce que les 2 fonctions ont le même niveau de sécurité ?
Qu'en est t'il de Sha1 également ?

Pour la comparaison de l'entropie des algos de hash, je te conseille plutôt un forum sécurité... Mais il me semble me souvenir qu'on peut faire un peu mieux avec sha qu'avec md5.

elitemedia · 12/09/2006, 21h45

Je cite l'en-tête du forum: "Sécurité - Sessions, cookies, cryptage de données, etc.". Il semblerait que j'ai posté dans le bon forum

Bon en fait je ne cherche pas de comparaison au plus haut niveau de cryptage comme je l'ai dit dans mon premier message, juste savoir si l'utilisation de MD5 était suffisante pour la sécurité des mots de passe stockés crypté en base de données.

Je dois dire aussi que cette histoire de "grain de sel" intégré à Crypt m'interpelle et j'aimerais savoir pour quelle raison je ne trouve pas 1 seul script qui l'utilise avant de me risquer moi même à son utilisation.

Bon sinon, j'ai downloadé le script de la page traitant des espaces membres et je vais l'étudier pour voir quel processus est mis en place pour le stockage, ca sera surement un début de réponse.

Eusebius · 12/09/2006, 21h51

Citation:

Envoyé par elitemedia

Je cite l'en-tête du forum: "Sécurité - Sessions, cookies, cryptage de données, etc.". Il semblerait que j'ai posté dans le bon forum

Oui oui, mais en fait je me demandais s'il y avait pas un forum vraiment algo/crypto, pas un sous-forum de php... mais en fait non

12/09/2006, 21h12	#1
elitemedia Membre régulier Inscription : août 2006 Messages : 115 Détails du profil Informations personnelles : Localisation : Suisse Informations forums : Inscription : août 2006 Messages : 115 Points : 92 Points : 92	[Sécurité] Cryptage mot de passe Salut, Pour une application assez simple de zone membre, je ne veux pas tomber dans la paranoia de la sécurité, juste qu'on ne puisse pas retrouver les mots de passe de mes utilisateurs. J'ai donc fais le choix de les stocker en Base de données. Ma question porte sur les différences entre MD5 et la fonction crypt. Sachant que Crypt propose un attribut "grain de sel", ne vaut t'il pas mieux l'utiliser plutot que MD5 ? Sinon, quelle processus en partant de la création du compte de l'utilisateur par lui même vaut t'il mieux que j'envisage pour stocker ces mots de passe ? Je cherche une méthode plutôt que des scripts. Christophe
	00

12/09/2006, 21h19	#2
Eusebius Expert Confirmé Inscription : avril 2003 Messages : 3 286 Détails du profil Informations forums : Inscription : avril 2003 Messages : 3 286 Points : 3 155 Points : 3 155	MD5 peut utiliser un grain de sel aussi. Ca devrait t'intéresser : http://matthieu.developpez.com/authentification/ __________________ Tous mes tutoriels Pas de questions techniques par MP ni par e-mail, merci ! Prolog rules!
	00

12/09/2006, 21h25	#3
elitemedia Membre régulier Inscription : août 2006 Messages : 115 Détails du profil Informations personnelles : Localisation : Suisse Informations forums : Inscription : août 2006 Messages : 115 Points : 92 Points : 92	oui justement, j'avais lu ca, mais sachant que Crypt intègre ce grain de sel dans ses paramètres, je ne comprends pas pourquoi cette dernière est si peu utilisé dans la plupart des scripts ? Est-ce que les 2 fonctions ont le même niveau de sécurité ? Qu'en est t'il de Sha1 également ?
	00

12/09/2006, 21h45	#5
elitemedia Membre régulier Inscription : août 2006 Messages : 115 Détails du profil Informations personnelles : Localisation : Suisse Informations forums : Inscription : août 2006 Messages : 115 Points : 92 Points : 92	Je cite l'en-tête du forum: "Sécurité - Sessions, cookies, cryptage de données, etc.". Il semblerait que j'ai posté dans le bon forum Bon en fait je ne cherche pas de comparaison au plus haut niveau de cryptage comme je l'ai dit dans mon premier message, juste savoir si l'utilisation de MD5 était suffisante pour la sécurité des mots de passe stockés crypté en base de données. Je dois dire aussi que cette histoire de "grain de sel" intégré à Crypt m'interpelle et j'aimerais savoir pour quelle raison je ne trouve pas 1 seul script qui l'utilise avant de me risquer moi même à son utilisation. Bon sinon, j'ai downloadé le script de la page traitant des espaces membres et je vais l'étudier pour voir quel processus est mis en place pour le stockage, ca sera surement un début de réponse.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email