securité mot de passe en sha1 [Résolu]

[UN|X`]

bonjour

je veux stocker les mots de passes des utilisateurs dans ma base de donné , je doit donc les crypter
- kel est la meilleur fonction que je peu utiliser ? sha1 md5 ?
- cé koi la difference entre ces derniers ?
- dans tout les cas , si j'ai un mot de passe en sha1 par exemple : "e1f52d5fjk41" comment je peu le decrypter ?

Merci

[Sivrît]

Citation:

Envoyé par UN|X`

je veux stocker les mots de passes des utilisateurs dans ma base de donné , je doit donc les crypter

En fait ce n'est pas précisément du cryptage. On ne stocke pas les mots de passes mais un hash. La différence étant que contrairement à un chiffrage il n'est pas possible depuis le hash de revenir au texte d'orrigine.

Citation:

Envoyé par UN|X`

- kel est la meilleur fonction que je peu utiliser ? sha1 md5 ?
- cé koi la difference entre ces derniers ?

Les deux fonctionnent sensiblement de la même façon mais le sha1 est plus récent, plus gros et plus fiable que le md5 dont on commence à se méfier.
Sinon il y aurait aussi la fonction "password" de mysql :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT password('toto');

Elle va inclure le sel (voir plus bas) mais ça lie peut-être trop l'application à la BDD.

Citation:

Envoyé par UN|X`

- dans tout les cas , si j'ai un mot de passe en sha1 par exemple : "e1f52d5fjk41" comment je peu le decrypter ?

Le principe étant de ne pas pouvoir retrouver le mot de passe depuis la valeur stockée, quand un mot de passe est entrée on le hache et on compare le résultat à la valeur stockée. Si ça correspond on considère que le mot de passe était le bon.
Typiquement, le hachage se fait sur le principe

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SHA1(motdepasse + sel)

Le sel étant une chaine plus ou moins aléatoire (mais constante pour l'application) que l'on concatène au bout des mots de passes pour compliquer les attaques par rainbow table (des tables précalculées de hash qui ne sont valables que pour un sel donné).