Discussion :

[maloy]

Bonjour,

Je voudrais sécuriser mes mots de passe de ma base de donnée. J'ai un champs MDP.
Je suis sur un serveur mutualisé et je ne peux changer de version Mysql.
J'ai a disposition seulement MD5 et Sha1. M'étant déjà fait 'Hack', je sais que les md5 c'est mauvais et sha1 pas mieux mais bon en X2 et avec du sel c'est correct. ( pleins de sites permettent de découvrir l'origine, ou des programmes)

Donc je voudrais savoir si un cryptage de ce genre permettait une sécurité optimale, ne pouvant le faire avec des sha256ou plus par exemples.

sha1(sha1($selfixe.$mdp.$seldiff) en gros ça revient à un mdp avec une 30ène de caractères de style ,;:^^124g...et le mdp de la personne et X2 sha1

J'ai testé sur des sites qui convertisses et ça ne trouve pas mais après ça dépend du matos que l'on a.

Donc si une personne avait une expérience dessus et pouvait essayer de trouver le code suivant ça me permettrait de jauger de la fiabilité:

2a3316323089a309dbef704a07470d4e585c97a2 = code simple a - de 10 lettres

et le 2ème:

b28e2491d133e4caf70cf71d6372f8468b0f9a4c = un peu moins de 30 avec des clefs, s'il n'est pas trouvé je donnerais les clefs, voir si c'est plus facile.

Merci le but c'est de vraiment avoir confiance la dessus.

[kaymak]

<hs>
et tu t'es fais hacker comment au fait ?

Non mais parce qu'avant de changer de serrure sur la porte d'entrée, faudrait peut être fermer la porte du garage
</hs>
a+

[maloy]

oui mais si la porte d'entrée se trouve ds le garage, sil ouvre de nouveau le garage ( le problème est le site php mais avant de corriger et le ré ouvrir il faut sécuriser les mdp si le php de nouveau en cause) il ne pourra pas entrer dans la maison ( les comptes) ce qui est le but.

Bref mettons de coté les métaphores et revenons à mon premier message

[kaymak]

Mettons les métaphores de côté oui.
Mais en même temps c'est essentiel, car la sécurité que tu veux mettre en place ici n'à de sens, que si, j'insiste, le pirate n'à pas accès à ta manière de hasher le mot de passe utilisateur.

Une fois qu'il à découvert le comment (en utilisant la porte du garage), tes hash n'ont plus d'effets protecteurs.
Puisqu'en fait les hash ne sont que des résultats de fonctions constantes.

Constante dans le fait que sha1('a'.'grain de sel') sera toujours égale à sha1('a'.'grain de sel')

Partant de là pour découvrir les mots de passes on utilise un dictionnaire, une rainbow table aussi, sur laquelle on applique tes additifs de sécurisation et on attend que tous les mots de passe de la terre soient testés, au bout d'un certains temps, y'en à bien un qui correspondra à la chaîne original, et on aura trouvé le mot de passe.

Donc finalement, si le pirate connait la formule de base, quelle soit
sha1(a)
sha1('a'.'grain de sel')
sha1( sha254654665446('a'.sha-ce-que-veux('grain de sel')) )

La surmultiplication n'apporte pas beaucoup de sécurité d'un point de vue théorique.

Cependant d'un point de vue, pratique la sur multiplication des hash et la complexification de la fonction apporte un avantage relatif.
Plus c'est compliqué à générer, plus son ordinateur mettra de temps à tester l'ensemble des combinaisons possibles pour trouver le mot de passe original.

MAIS, car il y un mais, et puis je disais plus ahut que c'est relatif.
Grâce aux prouesses technologiques de ces derniers temps, on peut utiliser un cloud à fond les patates et grandement améliorer la vitesse d’exécution de la tâche.

Donc, tout repose sur une question de confiance, qui est la suivante, ma fonction de hashage peut elle restée secrète.

D'où l’intérêt de bien fermer la porte du garage : )

a+

[maloy]

merci de prendre le temps de répondre.

oui c'est sur que de corriger le php est mieux mais on peux penser qu'il l'est et une fois mis on voit que ça a mal été fait donc pour éviter que les mdp soit facile à trouver d’où mettre differents sels et long pour rendre la tache impossible voir très long pour laisser le temps de réagir.

C'est por ça si une personne me trouve le MDP suite au 1er message et me dit par exemple le temps mit ...ça serait bien.

[kaymak]

merci de prendre le temps de répondre.

oui c'est sur que de corriger le php est mieux mais on peux penser qu'il l'est et une fois mis on voit que ça a mal été fait donc pour éviter que les mdp soit facile à trouver d’où mettre differents sels et long pour rendre la tache impossible voir très long pour laisser le temps de réagir.

C'est por ça si une personne me trouve le MDP suite au 1er message et me dit par exemple le temps mit ...ça serait bien.

Sa dépend du type de faille auquel tu dis faire face. Si c'est un accès sur la machine qui est compromis, alors mon message est d'autant plus important.
Si tu fais face à une évasion de tes données à cause d'une faille SQL, mon message est moins important.
Par contre, si tu fais à une faille SQL logique, bah là, que tu fasses ceci ou cela, c'est mort....

On en revient au point de départ à toute correction inhérente à un problème.
Quel est le problème d'origine, on y donnera la solution appropriée par la suite.

a+

[maloy]

fuite php faut je je vois un pro pour ça, mais jai pas trop de bouche à oreilles, sites réputés.

Mais bon c'est sur jvais pas remettre en étant pas sur de l'avoir corrigé mais si ça venai, au pire des mdp bien sécurisé ( pas comme avant md5 sans rien) ça évitera le chaos.

[kaymak]

effectivement, tu as besoin de quelqu'un plus expérimenté pour t'aider à résoudre cette épineux problème.

Pour en revenir à la question de départ,
pour le hash
1/ 2a3316323089a309dbef704a07470d4e585c97a2
n'étant pas spécialiste du cracking, ne disposant pas des bons outils, et étant matériellement sous équipé etc, il me faudrait probablement quelques jours d'intenses calculs.... en étant optimiste.
Et encore que tu as déjà grandement réduit le champs de recherche puisque tu nous donne sa longueur maximale, information cruciale de mon point de vue.
Autre point qui peut améliorer le temps nécessaire au crack, la qualité du mot de passe, si le pwd est un mot du dictionnaire courant, il est fort à parier que je le trouverais assez rapidement.
Car c'est ce que je vais tester en premier, les mots du dictionnaire, les prénoms, noms et autres password commun.
Si par contre c'est une suite de caractère abscons, composé de minuscule, majuscule, lettrre, chiffres ect ect, je vais mettre beaucoup plus de temps.

Mais n'étant pas un attaquant très motivé, je ne tenterais même pas l'expérience...

a+

[maloy]

oui ok merci de l'aide on attend un pro pour voir

[kaymak]

C'est une tentative comme une autre

a+

[Marc3001]

Je suis sur un serveur mutualisé et je ne peux changer de version Mysql.
J'ai a disposition seulement MD5 et Sha1. M'étant déjà fait 'Hack', je sais que les md5 c'est mauvais et sha1 pas mieux mais bon en X2 et avec du sel c'est correct. ( pleins de sites permettent de découvrir l'origine, ou des programmes)

Le type de cryptage est plus dépendant de la version de php que MySQL... Quelle version de PHP dois-tu utiliser?

As-tu essayer de trouver une âme charitable sur le web qui aurait déjà implémenté l'algo sha256 sur ta version de php? Ca doit bien se trouver...