Discussion :

[osmoz]

Bonjour,

J'aurai voulu savoir comment stocker de manière sérieuse un mot de passe d'un utilisateur dans une base de données dans le cas d'un portail web sans connexion sécurisée. Vaut-il mieux utiliser les outils des base de données pour crypter le mot de passe ou utiliser les outils de hachage des langages avant de l'enregistrer?
La question est peut-être trop générale et dépend au cas par cas mais quelles sont vos habitudes?
Sinon, pour être plus précis, sous Oracle et PostGreSQL, quelles sont les otuils à utiliser?
Merci!

Amir

[vmolines]

Stocker le hash du mdp est une bonne solution. Ensuite soit tu le fais côté langage soit coté sgbd. Il existe des fonctions de hash côté sgbd aussi.

[osmoz]

Justement, je cherchais à avoir des indications sur les fonctions de hash pour les BDD que j'avais cité. D'ailleurs des indications pour les autres BDD sont les bienvenues.

Pour Postgre il existe l'outil pgcrypto. Dans le répertoire Postgre_home/doc/contrib, il y a un fichier README.pgcrypto. Les fonctions à utiliser semble être "digest" et "gen_salt" pour saler le password.

Pour Oracle, il y a les DBMS_OBFUSCATION_TOOLKIT depuis Oracle 8i et DBMS_CRYPTO depuis Oracle 10g avec plus d'algorithmes de cryptage (SHA-1 rajouté) et d'autres fonctions. La version entreprise (EE) semble avoir un autre outil "Advanced Security Transparent Data Encryption" d'après cet article http://www.oracle.com/technology/dep...whitepaper.pdf. Mais je n'ai pas trouvé d'exemples concrets de ce paquetage. J'ai vu ce sujet http://www.developpez.net/forums/sho...ht=DBMS_crypto et j'ai vu qu'il y avait un article http://mbouayoun.developpez.com/cryptage9i/ là-dessus.

Il serait pratique de centraliser les articles dans un seul sujet pour toutes les bases de données, ça permettrait de gagner du temps pour démarrer.

Amir

[vmolines]

Attention quand on parle de hash on ne parle pas de cryptage de données, ce ne sont pas du tout les mêmes choses !

Le hashage est indiqué pour le stockage de mdp et les fonctions sont dans la doc de ton SGBD. Je ne les connais pas donc je te renvoie vers la doc.

[SQLpro]

Il faut évidemment utiliser un cryptage de données. SQL Server sait faire cela avec un bonne dizaines d'algorithmes depuis la version 2005 et en utilisant des mots de passe ou des certificats.

A +