Discussion :

[Marc3001]

La question était plutot dans ta formule de génération de password à hashé je ne vois pas où tu mets ton salt aléatoire.

[PIEPLU]

Bonjour,

Votre sujet m'intéresse dans le but de modifier mon système de sécurisation actuel (md5).

Vous dites qu'il faut faire ceci :
hash = salt (en dur) + username (en base) + password (en base)

Donc, dans ma page de création de compte, ca veut dire que je dois avoir une variable unique contenant le salt, exemple : "123"
Ensuite, je concatene avec le login de l'utilisateur : "test"
Et enfin, son mot de passe : "code" (dans mon cas, vu que pour les membres actuels ils sont déjà en md5, je ferais md5('code')

Au final, j'obtiens (si j'ai bien compris)
123testcode (code en md5)

Par dessus tout ça, on doit faire un hash, c'est bien ça ?

Mais c'est quoi un hash ? C'est des trucs comme sha-X ?

Que me conseillez-vous ?

Merci beaucoup

[grunk]

Par dessus tout ça, on doit faire un hash, c'est bien ça ?

Oui

Mais c'est quoi un hash ? C'est des trucs comme sha-X ?

Un hash c'est un algorithme qui va transformer ta chaine de telle manière que la transformation inverse n'est (en principe) pas possible. Ce n'est donc pas du cryptage.

Que me conseillez-vous ?

Eviter md5 qui est devenu bien trop faible notamment à cause des nombreuses rainbow table. Sha256 ou sha1 sont pas mal

[PIEPLU]

le sha256 est supérieur au sha1 niveau hashage ? Il vaut donc mieux utiliser le 256 ?

Merci pour tout !

[Marc3001]

D'après Wikipedia sur SHA-1:

Des versions offrant plus de sécurité sont également disponibles : SHA-256, SHA-384 et SHA-512. Comme leur nom l'indique, ces versions fournissent des signatures de 256, 384 et 512 bits. Une variante a été récemment ajoutée, le SHA-224 assure une compatibilité avec la longueur de deux clés qui seraient utilisées pour du Triple DES (4 clés de 56 bits, le 3DES utilise 3 clés de 56 bits).

Donc oui SHA-256 est mieux...