Discussion :

[flowp]

Bonjour,

Je suis en train de développez une application sous VS2010 en C#,
et j'aimerais sauvegarder dans un fichier une liste de nom d'utilisateurs
ainsi que leur mot de passe correspondant.

Mais je ne sait pas quoi utilisé comme méthode. (XML, fichier texte) ?
Où alors quels sont les méthodes les plus utilisées dans ce cas là ?

Merci d'avance.

[Pol63]

en général ca se met avec le reste des données, donc bien souvent dans une base de données
après il faut crypter légèrement le mot de passe ^^ (avec une clé de hashage type sha256, enfin y a quelques méthodes dans le framework dans system.security.cryptography)
donc le crypter dans la base, et au moment de la saisie, crypter la saisie pour la comparer avec le mot de passe crypté

[flowp]

en général ca se met avec le reste des données, donc bien souvent dans une base de données
après il faut crypter légèrement le mot de passe ^^ (avec une clé de hashage type sha256, enfin y a quelques méthodes dans le framework dans system.security.cryptography)
donc le crypter dans la base, et au moment de la saisie, crypter la saisie pour la comparer avec le mot de passe crypté

Merci de ta réponse,
je ne cherche pas a utilisé de base de données,
mais de mettre ces informations soit localiser en local (par exemple dans un fichiers).
Après si on peut crypter ces données c'est encore mieux

[Pol63]

crypter dans un fichier c'est faisable aussi

system.io.file.readalltext
system.io.file.writealltext

je te dirais bien de travailler avec des collections et du split
mais le rendu d'un cryptage et du split je sais pas trop si ca va ensemble^^

[flowp]

crypter dans un fichier c'est faisable aussi

system.io.file.readalltext
system.io.file.writealltext

je te dirais bien de travailler avec des collections et du split
mais le rendu d'un cryptage et du split je sais pas trop si ca va ensemble^^

c'est quoi des collections et du split ?

ce que tu m'a filer permet juste d'écrire dans un texte ?
mais comment le crypter ?

[NicoL__]

L'idée est de stocké un hash du password avec ça par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
byte[] data = System.Text.Encoding.UTF8.GetBytes(password);
byte[] hashed = new SHA1CryptoServiceProvider().ComputeHash(data );

et de comparer les hash.
En suite pour le stockage, utilise du xml, une méthode simple est de créer des objet MonUser avec le loggin et le hash et de serializer en xml.

[sevyc64]

Petite précision pour tous les visiteurs.

On ne stocke jamais un mot de passe, même crypté.

On ne stocke que une signature (hash) obtenue par un algorithme dit destructif, comme par exemple SHA (256bits minimum)

La différence ?
La signature est une représentation réputée unique d'une donnée (ici un mdp) mais cette signature ne contient pas la donnée initiale, cette donnée ayant été détruite au fil des calculs effectués par l'algorithme. Il n'est ainsi pas possible de remonter à la donnée (et donc retrouver le mdp) depuis la signature puisque cette donnée n'existe pas dans la signature.

La conséquence :
On ne compare pas un mot de passe saisi avec un mot de passe sauvegardé, mais on compare la signature du mot de passe à la signature sauvegardée. Si les deux signatures sont identiques, la signature étant réputée unique, on suppose que le mot de passe saisi était identique au mot de passe initial.

Les collisions :
Les collisions sont des données initiales différentes qui aboutissent à une signature identique. De nombreux algorithmes connus possèdent des collisions (MD5, SHA8, SHA16, ...).

A l'heure actuelle SHA256 est recommandé, car même si il est supposé qu'il possède probablement lui-aussi des collisions (comme certainement tous les algorithmes), aucune n'a encore été trouvée et aucune méthode permettant d'en trouver n'existe encore, à priori.

[NicoL__]

Oui c'est vrai et c'est ce que je disais mais la Loi LCEN demande à ce que le mot de passe soit conservés donc j'en déduit qu'ils sont gardés en clair ou cryptés mais pas jsute le hash. Ok c'est pour le cas pour... tous les site internet genre developpez.net...
Pour info, j'ai déjà vu dans un BBD un table client (pour de la vente sur internet) avec les password en clair et l'adresse mail à côté... enfin moi j'ai entendu la même avec les n° de carte bleu et le crypto avec et la date aussi... la fête... et tout ça c'était du lourd des gros d'internet...

[sevyc64]

Oui, il y a une loi aussi qui dit que l'on peut être coupable de ne pas avoir été capable de sécuriser sa ligne à 150% alors que c'est techniquement impossible. Loi pondue d'ailleurs par la même équipe.

Cette même équipe qui veux accentuer encore plus l'installation de vidéosurveillance pour pouvoir mieux nous espionner, qui veux nous faire installer des mouchards sur les PC pour pouvoir mieux nous espionner, qui nous met en avant le parefeu OpenOffice, etc .....
Cette équipe qui veut, petit à petit, prendre le contrôle total de nos vies, continuer à s'en mettre plein les poches en prenant de plus en plus aux petits, mais surtout pas aux gros.
Etc, Etc, .... Je pourrais continuer comme ça, longtemps.
Et non, je ne parle pas de la chine ou d'un quelconque pays d’Afrique du Nord, qui, si ça continu, n'arriveront même plus à la cheville de cette fameuse équipe.

[jacklafrip]

Sans vouloir faire trop de politique, même si j'adore cela, et que je suis en totale communion avec toi, Sevyc64, je ferai remarquer que, dans le décret, il est écrit (Chapitre 1, Article 1, point 3 g) qu'il faut conserver

Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour.

Néanmoins, il est aussi indiqué, quelques lignes plus loin :

Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement.

J'y comprend, sans avoir jamais fait de droit, que si, avant, ces données étaient détruites pour ne comparer que les signatures, il n'y a pas besoin de commencer à les garder.
Donc : on peut continuer à faire comme avant dans notre petit coin, mais l'équipe du pare-feu OpenOffice anti-Afrique du Nord nous tuera petit à petit...

[NicoL__]

OK mais quid d'une nouvelle application, doit-on avoir de bonne pratique de sécurité informatique ou en dérogé pour complaire aux directive de la sécurité intérieur de ce grand pays de liberté ?!

[sevyc64]

Pour moi, la réponse est claire, c'est la bonne pratique qui prime.

D'autant plus que, je ne sais pas si tous les décrets d'applications de cette loi citée ont été publiés. Je ne sais pas non plus (et c'est probablement le cas) si elle ne rentre pas en conflit avec d'autres textes.

Pour moi, au delà de la loi, il est clair qu'il faut avant tout protéger les données personnelles contre un accès et une utilisation frauduleuse fusse-t-elle peut-être actuellement autorisée par une loi (qui peut-être demain n'existera plus).