Discussion :

[Invité]

Bonjour à vous,

En vue de protéger un peu plus les mots de passe des mes membres, je souhaiterez en plus de la fonction md5() les crypter par une autre fonction ( si un pirate réussi à récuperer la bdd, les dicos md5 sont assez performant pour décrypter la pluspart des pass, un second cryptage lui poserait plus de problème).

Le second cryptage peut être réversible ou non.
Par contre, il faudrait que sa soit le plus rapide possible ( logique ! ) et que sa ne génère pas de caractères spéciaux ( risque de problèmes avec mysql )


Donnez moi vos idées !

[dj-julio]

le mieux à faire c'esty que tu ajoutes un grain de sel dans ton cryptage md5

[Kioob]

Hello,

l'idéal est d'utiliser un "grain de sel". Ainsi l'utilisation de la fonction CRYPT() suffit. D'autre part la fonction CRYPT() est un standard sous Unix, on la retrouve dans la plupart des langages, PHP et MySQL y compris ; c'est également elle qui est utilisée pour le stockage des mots de passe système sous Linux et pour un grand nombre d'applications sous Unix en général.

http://at2.php.net/manual/fr/function.crypt.php

[Invité]

Je viens de penser à une chose, un double md5 sa doit être pas mal non ?

Sinon la fonction crypt() me parait trés bien aussi !
Moi qui était aller me faire ***** avec les fonctions mcrypt_create_iv, je vois qu'il y a plus simple !

[Kioob]

Non, dans tous les cas le hash d'un même mot de passe sera toujours identique.

Une seule solution : grain de sel.

[cyrill.gremaud]

je te conseil de faire un cryptage personnel... moi c'est ce que j'ai fais et pour le moment personne n'a réussi a trouver une solution...

[Invité]

Non, dans tous les cas le hash d'un même mot de passe sera toujours identique.

Une seule solution : grain de sel.

Je ne parle pas de faire un md5 deux fois sur le même mot de pass, mais de faire un double md5 :

md5(md5($pass)); différent de md5($pass);

Mais je viens de tester la fonction crypt sa me va trés bien !

Le cryptage personnel j'y est pensé mais je pense que c'est moins optimisé niveau temps d'éxécution.

[Kioob]

lol... parce que tu n'es jamais tombé sur un expert...

A quoi bon ré-inventer la roue ? A moins que tu penses vraiment pouvoir faire mieux que les mathématiciens spécialisés dans le domaine, je ne vois pas l'intérêt.

[Kioob]

Non, dans tous les cas le hash d'un même mot de passe sera toujours identique.

Une seule solution : grain de sel.

Je ne parle pas de faire un md5 deux fois sur le même mot de pass, mais de faire un double md5 :

md5(md5($pass)); différent de md5($pass);

J'avais bien compris.... mais tu peux refaire 500 fois ton "md5(md5($pass));", tu obtiendras toujours le même résultat... et c'est ça le problème.
Or, avec un grain de sel, tu n'as pas ce soucis.

[Invité]

Bon au final je vais prendre sa :

$md5crypt = crypt( md5($pass) ,$cle_DES_etendu);

Merci à vous !

[Kioob]

ce qui ne sert absolument à rien...

[Invité]

ce qui ne sert absolument à rien...

? A propos de quoi ?

[Kioob]

crypt() suffit largement... ça ne te sert à rien d'ajouter une couche de MD5()...

[Invité]

Ouais c vrai que la $clé permet d'avoir la garanti d'une unicité ( pas de dicos possible )

[Yogui]

J'avais bien compris.... mais tu peux refaire 500 fois ton "md5(md5($pass));", tu obtiendras toujours le même résultat... et c'est ça le problème.
Or, avec un grain de sel, tu n'as pas ce soucis.

@Kioob : J'aimerais savoir qui t'as assuré cela car :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<?php
 
$string = 'test';
echo md5($string).'<br />'.md5(md5($string));
 
?>

Affiche :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
098f6bcd4621d373cade4e832627b4f6
fb469d7ef430b0baf0cab6c436e70375

À moins que je doive me racheter des yeux...
Finalement, c'est un comportement un peu plus logique que ce que tu proposais (à savoir que crypter un cryptage ne change rien) puisque, du point de vue de md5(), le retour d'un autre md5() est une chaîne : pas moyen de savoir que c'est une chaîne cryptée qu'il ne doit pas crypter davantage.

[Kioob]

Kirkis... relis bien avant de sortir de tels trucs...

Je parle de ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$pass = 'toto';
echo md5(md5($pass)), "<br />\n";
echo md5(md5($pass)), "<br />\n";

Tu obtiendras deux fois la même chose, ce qui n'est pas le cas en utilisant un salt.

[Yogui]

Je ne parle pas de faire un md5 deux fois sur le même mot de pass, mais de faire un double md5 :

md5(md5($pass)); différent de md5($pass);

tu peux refaire 500 fois ton "md5(md5($pass));", tu obtiendras toujours le même résultat...

Je pense que tu as mal saisi ce qu'il voulait dire mais ce n'est que mon avis.
Après, je t'ai mal compris toi car je l'avais bien compris lui

[Kioob]

Non j'ai parfaitement compris ce qu'il cherchait à faire, et lui ai répondu en fonction de ça : il voulait faire du double MD5 pour éviter les attaques par dictionnaire. Je lui ai donc expliqué que cela ne changeait rien, et que la méthode du grain de sel était - elle - efficace.

C'est d'ailleurs pourquoi il a décidé d'utiliser crypt() au lieu de md5()...


Note : s'il faut que je te ré-explique tous mes posts à chaque fois, on va pas s'en sortir hein... Prends le temps de lire stp.

[XtofRoland]

jusqu'a ce dernier message j'ai halluciné!

Kioob contrairement a ce que tu peux croire, tu es loin d'etre clair...



il y a un topic interessant , securité totale ;-)

[Kioob]

et qu'est ce qui n'est pas clair pour toi dans une simple phrase comme celle ci ?

tu peux refaire 500 fois ton "md5(md5($pass));", tu obtiendras toujours le même résultat