[Securité] Mots de passe et casse

Evocatii · 08/10/2007, 19h01

Bonjour,

Quelle approche adopter pour la gestion des mots de passe cryptés ?

Est-il conseillé de convertir tous les mots de passe en minuscules avant leur cryptage MD5 (pour par exemple ensuite les stocker dans une BD), ou alors faut-il laisser la possibilité de différencier majuscules/minuscules à l'utilisateur ?

Bref, de manière générale, quelle approche priviliégiez-vous pour stocker/gérer les mots de passe utilisateurs ?

Merci pour votre aide,
Evocatii

mikebranque · 08/10/2007, 21h05

niveau login:
- je pense qu'il vaut mieux etre insensible a la casse, car ca peut embrouyer l'ulisateur. Il faut prendre en compte si tes futures utilisateurs feront la difference entre Bob et bob.
-niveau mot de passe:
si tu autorise les miniscules et majuscules, tu multiplies quasiment par deux les combinaison demot de passe. Donc plus de securité.

Raideman · 08/10/2007, 22h17

Ben comme d'habitude pour ce genre de questions, je dirai que celà dépend du projet et du degré de sécurité éxigé. Il n'y a pas longtemps d'ailleurs, il y a avait un sujet ici pour une personne qui cherchait une sécurité poussée sur ses mots de passe (à l'aide de hash sha et de grain de sel il me semble).

Ceci dit, pour la plupart des projets que j'approche en général, je fais du md5 en tenant compte de la casse ou même parfois directement dans la bdd (dans le cadre intranet où les utilisateurs pomment tout le temps leur mot de passe et que les admin du site veulenet une vue directe sur les mdp).

08/10/2007, 19h01	#1
Evocatii Membre régulier Inscription : mai 2007 Messages : 144 Détails du profil Informations forums : Inscription : mai 2007 Messages : 144 Points : 78 Points : 78	[Securité] Mots de passe et casse Bonjour, Quelle approche adopter pour la gestion des mots de passe cryptés ? Est-il conseillé de convertir tous les mots de passe en minuscules avant leur cryptage MD5 (pour par exemple ensuite les stocker dans une BD), ou alors faut-il laisser la possibilité de différencier majuscules/minuscules à l'utilisateur ? Bref, de manière générale, quelle approche priviliégiez-vous pour stocker/gérer les mots de passe utilisateurs ? Merci pour votre aide, Evocatii
	00

08/10/2007, 22h17	#3
Raideman Membre Expert Inscription : octobre 2002 Messages : 1 141 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : octobre 2002 Messages : 1 141 Points : 1 204 Points : 1 204	Ben comme d'habitude pour ce genre de questions, je dirai que celà dépend du projet et du degré de sécurité éxigé. Il n'y a pas longtemps d'ailleurs, il y a avait un sujet ici pour une personne qui cherchait une sécurité poussée sur ses mots de passe (à l'aide de hash sha et de grain de sel il me semble). Ceci dit, pour la plupart des projets que j'approche en général, je fais du md5 en tenant compte de la casse ou même parfois directement dans la bdd (dans le cadre intranet où les utilisateurs pomment tout le temps leur mot de passe et que les admin du site veulenet une vue directe sur les mdp). __________________ http://www.cimbat.com Mes contributions pour developpez.com Construire un calendrier dynamique avec AJAX conseil juridique en ligne
	00

08/10/2007, 21h05	#2
mikebranque Membre du Club Inscription : février 2006 Messages : 134 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : février 2006 Messages : 134 Points : 48 Points : 48	niveau login: - je pense qu'il vaut mieux etre insensible a la casse, car ca peut embrouyer l'ulisateur. Il faut prendre en compte si tes futures utilisateurs feront la difference entre Bob et bob. -niveau mot de passe: si tu autorise les miniscules et majuscules, tu multiplies quasiment par deux les combinaison demot de passe. Donc plus de securité.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email