Comment stocker de manière sérieuse un mot de passe d'un utilisateur dans une BDD ?

osmoz · 20/11/2007, 10h25

Bonjour,

J'aurai voulu savoir comment stocker de manière sérieuse un mot de passe d'un utilisateur dans une base de données dans le cas d'un portail web sans connexion sécurisée. Vaut-il mieux utiliser les outils des base de données pour crypter le mot de passe ou utiliser les outils de hachage des langages avant de l'enregistrer?
La question est peut-être trop générale et dépend au cas par cas mais quelles sont vos habitudes?
Sinon, pour être plus précis, sous Oracle et PostGreSQL, quelles sont les otuils à utiliser?
Merci!

Amir

vmolines · 20/11/2007, 12h15

Stocker le hash du mdp est une bonne solution. Ensuite soit tu le fais côté langage soit coté sgbd. Il existe des fonctions de hash côté sgbd aussi.

osmoz · 20/11/2007, 14h06

Justement, je cherchais à avoir des indications sur les fonctions de hash pour les BDD que j'avais cité. D'ailleurs des indications pour les autres BDD sont les bienvenues.

Pour Postgre il existe l'outil pgcrypto. Dans le répertoire Postgre_home/doc/contrib, il y a un fichier README.pgcrypto. Les fonctions à utiliser semble être "digest" et "gen_salt" pour saler le password.

Pour Oracle, il y a les DBMS_OBFUSCATION_TOOLKIT depuis Oracle 8i et DBMS_CRYPTO depuis Oracle 10g avec plus d'algorithmes de cryptage (SHA-1 rajouté) et d'autres fonctions. La version entreprise (EE) semble avoir un autre outil "Advanced Security Transparent Data Encryption" d'après cet article http://www.oracle.com/technology/dep...whitepaper.pdf. Mais je n'ai pas trouvé d'exemples concrets de ce paquetage. J'ai vu ce sujet http://www.developpez.net/forums/sho...ht=DBMS_crypto et j'ai vu qu'il y avait un article http://mbouayoun.developpez.com/cryptage9i/ là-dessus.

Il serait pratique de centraliser les articles dans un seul sujet pour toutes les bases de données, ça permettrait de gagner du temps pour démarrer.

Amir

vmolines · 20/11/2007, 14h33

Attention quand on parle de hash on ne parle pas de cryptage de données, ce ne sont pas du tout les mêmes choses !

Le hashage est indiqué pour le stockage de mdp et les fonctions sont dans la doc de ton SGBD. Je ne les connais pas donc je te renvoie vers la doc.

SQLpro · 25/11/2007, 21h30

Il faut évidemment utiliser un cryptage de données. SQL Server sait faire cela avec un bonne dizaines d'algorithmes depuis la version 2005 et en utilisant des mots de passe ou des certificats.

A +

20/11/2007, 10h25	#1
osmoz Invité de passage Inscription : mai 2005 Messages : 9 Détails du profil Informations forums : Inscription : mai 2005 Messages : 9 Points : 1 Points : 1	Comment stocker de manière sérieuse un mot de passe d'un utilisateur dans une BDD ? Bonjour, J'aurai voulu savoir comment stocker de manière sérieuse un mot de passe d'un utilisateur dans une base de données dans le cas d'un portail web sans connexion sécurisée. Vaut-il mieux utiliser les outils des base de données pour crypter le mot de passe ou utiliser les outils de hachage des langages avant de l'enregistrer? La question est peut-être trop générale et dépend au cas par cas mais quelles sont vos habitudes? Sinon, pour être plus précis, sous Oracle et PostGreSQL, quelles sont les otuils à utiliser? Merci! Amir
	00

25/11/2007, 21h30	#5
SQLpro Rédacteur/Modérateur Frédéric BROUARD Expert SGBDR & SQL Inscription : mai 2002 Messages : 10 959 Détails du profil Informations personnelles : Nom : Frédéric BROUARD Localisation : France Informations professionnelles : Activité : Expert SGBDR & SQL Secteur : Conseil Informations forums : Inscription : mai 2002 Messages : 10 959 Points : 17 793 Points : 17 793	Il faut évidemment utiliser un cryptage de données. SQL Server sait faire cela avec un bonne dizaines d'algorithmes depuis la version 2005 et en utilisant des mots de passe ou des certificats. A + __________________ Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL Site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/ *Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.* Blog SQL, SQL Server, modélisation données : http://blog.developpez.com/sqlpro http://www.sqlspot.com : modélisation, conseils, audit, optimisation, formation * * * * * Enseignant CNAM PACA - ISEN Toulon - CESI Aix en Provence * * * * *
	00

20/11/2007, 12h15	#2
vmolines Membre Expert Inscription : mars 2005 Messages : 1 565 Détails du profil Informations personnelles : Âge : 29 Localisation : France, Haute Garonne (Midi Pyrénées) Informations forums : Inscription : mars 2005 Messages : 1 565 Points : 2 178 Points : 2 178	Stocker le hash du mdp est une bonne solution. Ensuite soit tu le fais côté langage soit coté sgbd. Il existe des fonctions de hash côté sgbd aussi.
	00

20/11/2007, 14h06	#3
osmoz Invité de passage Inscription : mai 2005 Messages : 9 Détails du profil Informations forums : Inscription : mai 2005 Messages : 9 Points : 1 Points : 1	Justement, je cherchais à avoir des indications sur les fonctions de hash pour les BDD que j'avais cité. D'ailleurs des indications pour les autres BDD sont les bienvenues. Pour Postgre il existe l'outil pgcrypto. Dans le répertoire Postgre_home/doc/contrib, il y a un fichier README.pgcrypto. Les fonctions à utiliser semble être "digest" et "gen_salt" pour saler le password. Pour Oracle, il y a les DBMS_OBFUSCATION_TOOLKIT depuis Oracle 8i et DBMS_CRYPTO depuis Oracle 10g avec plus d'algorithmes de cryptage (SHA-1 rajouté) et d'autres fonctions. La version entreprise (EE) semble avoir un autre outil "Advanced Security Transparent Data Encryption" d'après cet article http://www.oracle.com/technology/dep...whitepaper.pdf. Mais je n'ai pas trouvé d'exemples concrets de ce paquetage. J'ai vu ce sujet http://www.developpez.net/forums/sho...ht=DBMS_crypto et j'ai vu qu'il y avait un article http://mbouayoun.developpez.com/cryptage9i/ là-dessus. Il serait pratique de centraliser les articles dans un seul sujet pour toutes les bases de données, ça permettrait de gagner du temps pour démarrer. Amir
	00

20/11/2007, 14h33	#4
vmolines Membre Expert Inscription : mars 2005 Messages : 1 565 Détails du profil Informations personnelles : Âge : 29 Localisation : France, Haute Garonne (Midi Pyrénées) Informations forums : Inscription : mars 2005 Messages : 1 565 Points : 2 178 Points : 2 178	Attention quand on parle de hash on ne parle pas de cryptage de données, ce ne sont pas du tout les mêmes choses ! Le hashage est indiqué pour le stockage de mdp et les fonctions sont dans la doc de ton SGBD. Je ne les connais pas donc je te renvoie vers la doc.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email