IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

PHP & Base de données Discussion :

sécuriser mdp base de donnée


Sujet :

PHP & Base de données

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2011
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Juillet 2011
    Messages : 88
    Par défaut sécuriser mdp base de donnée
    Bonjour,

    Je voudrais sécuriser mes mots de passe de ma base de donnée. J'ai un champs MDP.
    Je suis sur un serveur mutualisé et je ne peux changer de version Mysql.
    J'ai a disposition seulement MD5 et Sha1. M'étant déjà fait 'Hack', je sais que les md5 c'est mauvais et sha1 pas mieux mais bon en X2 et avec du sel c'est correct. ( pleins de sites permettent de découvrir l'origine, ou des programmes)

    Donc je voudrais savoir si un cryptage de ce genre permettait une sécurité optimale, ne pouvant le faire avec des sha256ou plus par exemples.

    sha1(sha1($selfixe.$mdp.$seldiff) en gros ça revient à un mdp avec une 30ène de caractères de style ,;:^^124g...et le mdp de la personne et X2 sha1

    J'ai testé sur des sites qui convertisses et ça ne trouve pas mais après ça dépend du matos que l'on a.

    Donc si une personne avait une expérience dessus et pouvait essayer de trouver le code suivant ça me permettrait de jauger de la fiabilité:

    2a3316323089a309dbef704a07470d4e585c97a2 = code simple a - de 10 lettres

    et le 2ème:

    b28e2491d133e4caf70cf71d6372f8468b0f9a4c = un peu moins de 30 avec des clefs, s'il n'est pas trouvé je donnerais les clefs, voir si c'est plus facile.

    Merci le but c'est de vraiment avoir confiance la dessus.

  2. #2
    Membre éprouvé
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Par défaut
    <hs>
    et tu t'es fais hacker comment au fait ?

    Non mais parce qu'avant de changer de serrure sur la porte d'entrée, faudrait peut être fermer la porte du garage
    </hs>
    a+

  3. #3
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2011
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Juillet 2011
    Messages : 88
    Par défaut
    oui mais si la porte d'entrée se trouve ds le garage, sil ouvre de nouveau le garage ( le problème est le site php mais avant de corriger et le ré ouvrir il faut sécuriser les mdp si le php de nouveau en cause) il ne pourra pas entrer dans la maison ( les comptes) ce qui est le but.

    Bref mettons de coté les métaphores et revenons à mon premier message

  4. #4
    Membre éprouvé
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Par défaut
    Mettons les métaphores de côté oui.
    Mais en même temps c'est essentiel, car la sécurité que tu veux mettre en place ici n'à de sens, que si, j'insiste, le pirate n'à pas accès à ta manière de hasher le mot de passe utilisateur.

    Une fois qu'il à découvert le comment (en utilisant la porte du garage), tes hash n'ont plus d'effets protecteurs.
    Puisqu'en fait les hash ne sont que des résultats de fonctions constantes.

    Constante dans le fait que sha1('a'.'grain de sel') sera toujours égale à sha1('a'.'grain de sel')

    Partant de là pour découvrir les mots de passes on utilise un dictionnaire, une rainbow table aussi, sur laquelle on applique tes additifs de sécurisation et on attend que tous les mots de passe de la terre soient testés, au bout d'un certains temps, y'en à bien un qui correspondra à la chaîne original, et on aura trouvé le mot de passe.

    Donc finalement, si le pirate connait la formule de base, quelle soit
    sha1(a)
    sha1('a'.'grain de sel')
    sha1( sha254654665446('a'.sha-ce-que-veux('grain de sel')) )

    La surmultiplication n'apporte pas beaucoup de sécurité d'un point de vue théorique.

    Cependant d'un point de vue, pratique la sur multiplication des hash et la complexification de la fonction apporte un avantage relatif.
    Plus c'est compliqué à générer, plus son ordinateur mettra de temps à tester l'ensemble des combinaisons possibles pour trouver le mot de passe original.

    MAIS, car il y un mais, et puis je disais plus ahut que c'est relatif.
    Grâce aux prouesses technologiques de ces derniers temps, on peut utiliser un cloud à fond les patates et grandement améliorer la vitesse d’exécution de la tâche.

    Donc, tout repose sur une question de confiance, qui est la suivante, ma fonction de hashage peut elle restée secrète.

    D'où l’intérêt de bien fermer la porte du garage : )

    a+

  5. #5
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2011
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Juillet 2011
    Messages : 88
    Par défaut
    merci de prendre le temps de répondre.

    oui c'est sur que de corriger le php est mieux mais on peux penser qu'il l'est et une fois mis on voit que ça a mal été fait donc pour éviter que les mdp soit facile à trouver d’où mettre differents sels et long pour rendre la tache impossible voir très long pour laisser le temps de réagir.

    C'est por ça si une personne me trouve le MDP suite au 1er message et me dit par exemple le temps mit ...ça serait bien.

  6. #6
    Membre éprouvé
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Par défaut
    Citation Envoyé par maloy Voir le message
    merci de prendre le temps de répondre.

    oui c'est sur que de corriger le php est mieux mais on peux penser qu'il l'est et une fois mis on voit que ça a mal été fait donc pour éviter que les mdp soit facile à trouver d’où mettre differents sels et long pour rendre la tache impossible voir très long pour laisser le temps de réagir.

    C'est por ça si une personne me trouve le MDP suite au 1er message et me dit par exemple le temps mit ...ça serait bien.
    Sa dépend du type de faille auquel tu dis faire face. Si c'est un accès sur la machine qui est compromis, alors mon message est d'autant plus important.
    Si tu fais face à une évasion de tes données à cause d'une faille SQL, mon message est moins important.
    Par contre, si tu fais à une faille SQL logique, bah là, que tu fasses ceci ou cela, c'est mort....

    On en revient au point de départ à toute correction inhérente à un problème.
    Quel est le problème d'origine, on y donnera la solution appropriée par la suite.

    a+

  7. #7
    Membre Expert Avatar de Marc3001
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Février 2008
    Messages
    829
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Février 2008
    Messages : 829
    Par défaut
    Citation Envoyé par maloy Voir le message
    Je suis sur un serveur mutualisé et je ne peux changer de version Mysql.
    J'ai a disposition seulement MD5 et Sha1. M'étant déjà fait 'Hack', je sais que les md5 c'est mauvais et sha1 pas mieux mais bon en X2 et avec du sel c'est correct. ( pleins de sites permettent de découvrir l'origine, ou des programmes)
    Le type de cryptage est plus dépendant de la version de php que MySQL... Quelle version de PHP dois-tu utiliser?

    As-tu essayer de trouver une âme charitable sur le web qui aurait déjà implémenté l'algo sha256 sur ta version de php? Ca doit bien se trouver...

Discussions similaires

  1. [ODBC] Sécuriser une base de données Access via une interface en PHP
    Par maraly dans le forum PHP & Base de données
    Réponses: 1
    Dernier message: 07/08/2007, 08h49
  2. Sécuriser une base de donne access
    Par jeha dans le forum Sécurité
    Réponses: 8
    Dernier message: 06/10/2006, 10h28
  3. Sécuriser la base de données (groupes/usagers)
    Par mathias dans le forum Sécurité
    Réponses: 1
    Dernier message: 03/10/2006, 08h58
  4. Sécuriser la base de données?
    Par jessy212 dans le forum Sécurité
    Réponses: 4
    Dernier message: 06/09/2006, 14h00
  5. Sécuriser une base de donnée
    Par Waluigi dans le forum Sécurité
    Réponses: 1
    Dernier message: 30/05/2006, 10h48

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo