[Sécurité] crypt ou md5 ? [Résolu]

Hayabusa · 21/01/2007, 22h36

Bonjour,

je voudrais juste savoir laquelle de ces deux fonctions il vaut mieux utiliser, et surtout pourquoi

voilà, merci bien

Hayabusa

jobherzt · 21/01/2007, 22h57

La reponse est : ca depend pourquoi. s'il s'agit de stocker des mots de passe dans une BDD (ce que je suppose sinon la question ne se poserait pas), alors sans hesiter il faut utiliser md5, meme s'il y a une possibilité que cette reponse vire au troll

. Si tu confirmes qu'il s'agit bien de cela, je developpes. sinon, je corrige !

Hayabusa · 21/01/2007, 23h04

c'est effectivement pour stocker un mot de passe dans un BDD

jobherzt · 21/01/2007, 23h19

Ok, en gros l'argument principal pour utiliser crypt est : ca permet a l'utilisateur de recuperer son mot de passe s'il en a oublié un. Ce a quoi on repondra : s'i oublie son mot de passe, on lui en envoie un par mail choisi aleatoirement, et on lui permet de le changer pour en remettre un qu'il aime bien.

Le premier argument pour ne pas utiliser crypt : en terme de securité, tout ce qui n'est pas reellement utile doit etre interdit. vu qu'il n'est a priori pas reellement utile de pouvoir decrypter le mot de passe, autant utiliser une methode qui rend ce decryptage materiellement impossible. Apres, il y a d'autre raison annexe. La taille d'un md5 est fixe, meme si tu autorise (ce qui est une bonne chose) des mots de passe arbitrairement long, ce que tu stocke dans ta base a une taille fixée une fois pour toute, ce qui est pratique. si un vilain pirae reussit a avoir acces a ta base, peut etre qu'il est aussi capable d'afficher ton code php, et donc de recuperer le mot de passe utilisé par crypt, et donc de recuperer tous les mots de passe. ou il peut attaquer les mots de passe crypté par brute force pour les retrouver. Si par une (tres improbable, Ok) erreur de manip tu perdais la cle que tu utilises, ca te mettrait dans une sale situation. accessoirement, je me demande si le cryptage n'est pas plus couteux en temps e calcul, meme si c'est negligeable. on pourrait aussi avancer une raison ethique : tu n'es a priori pas censé etre en mesure de lire les mots de passe de tes utilisateurs.

si tu veux qqchose de plus solide que md5, utilise sha-1, voire sha-256, mais reste dans la fonction de hashage. si tu veux augmenter le niveau de securité, utilise un "sel" généré aleatoirement que tu concatene au mot de passe avant de le hacher, et que tu stocke a coté du mot de passe. en gros :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
//creation
sel <- genere 4 caracteres aleatoires
hash <- md5 de motdepasse+sel
stocke hash et sel
 
//verification
recupere le hash et le sel dans la base
compare md5(mot de passe tapé + sel) au hash de la base.

Hayabusa · 21/01/2007, 23h30

ok, un grand merci pour ta réponse

Hayabusa · 21/01/2007, 23h46

EDIT : non c'est bon j'ai rien dit j'ai la solution : sel = 4 caractères

21/01/2007, 22h36	#1
Hayabusa Futur Membre du Club Étudiant Inscription : février 2006 Messages : 97 Détails du profil Informations personnelles : Âge : 21 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : février 2006 Messages : 97 Points : 17 Points : 17	[Sécurité] crypt ou md5 ? Bonjour, je voudrais juste savoir laquelle de ces deux fonctions il vaut mieux utiliser, et surtout pourquoi voilà, merci bien Hayabusa
	00

21/01/2007, 22h57	#2
jobherzt Membre chevronné Inscription : janvier 2005 Messages : 711 Détails du profil Informations forums : Inscription : janvier 2005 Messages : 711 Points : 671 Points : 671	La reponse est : ca depend pourquoi. s'il s'agit de stocker des mots de passe dans une BDD (ce que je suppose sinon la question ne se poserait pas), alors sans hesiter il faut utiliser md5, meme s'il y a une possibilité que cette reponse vire au troll . Si tu confirmes qu'il s'agit bien de cela, je developpes. sinon, je corrige !
	00

21/01/2007, 23h04	#3
Hayabusa Futur Membre du Club Étudiant Inscription : février 2006 Messages : 97 Détails du profil Informations personnelles : Âge : 21 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : février 2006 Messages : 97 Points : 17 Points : 17	c'est effectivement pour stocker un mot de passe dans un BDD
	00

21/01/2007, 23h30	#5
Hayabusa Futur Membre du Club Étudiant Inscription : février 2006 Messages : 97 Détails du profil Informations personnelles : Âge : 21 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : février 2006 Messages : 97 Points : 17 Points : 17	ok, un grand merci pour ta réponse
	00

21/01/2007, 23h46	#6
Hayabusa Futur Membre du Club Étudiant Inscription : février 2006 Messages : 97 Détails du profil Informations personnelles : Âge : 21 Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : février 2006 Messages : 97 Points : 17 Points : 17	EDIT : non c'est bon j'ai rien dit j'ai la solution : sel = 4 caractères
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email