Discussion :

[Alpha573]

Bonjour,

Dans le cadre d'un projet perso, je développe un forum en PHP.
Pour stocker les mots de passe en BDD, je les hash avec sha1.
J'ajoute aussi une phrase fixe que je concatène au mot de passe avant de hasher.

J'aimerais ajouter une graine de sel, afin de générer une chaine de caractère aléatoire que je concatène au mot de passe et à la chaine fixe. De cette manière, deux utilisateurs qui ont le même mot de passe n'auront pas le même hash si j'ai bien compris.

Je me retrouve embêté pour comparer les hash au moment de la phase d'authentification étant donné que la graine de sel est aléatoire.
Alors je voulais demander où stocker cette graine sel et comment mettre ça en place.

Merci beaucoup !

[Etanne]

Salut,

Tu pourrais utiliser le nom de l'utilisateur pour ton grain de sel

Etanne

[Marc3001]

Sur Spip, le grain de sel est stocké en base.

[Alpha573]

Heu oui mais ça serait peut être plus "secure" d'avoir une graine de sel aléatoire non ?
Mais après il faut bien que je la stocke cette graine de sel aléatoire et j'aimerais bien mettre ça en place dans la règles de l'art .

[stealth35]

Heu oui mais ça serait peut être plus "secure" d'avoir une graine de sel aléatoire non ?
Mais après il faut bien que je la stocke cette graine de sel aléatoire et j'aimerais bien mettre ça en place dans la règles de l'art .

fait :
hash = salt + username + password

[Alpha573]

stealth35 d'accord. Quand tu parles de salt, c'est la gaine de sel aléatoire on est d'accord ?

Donc ok je hash je stock le mot de passe hasher, mais où est-ce que je stocke la graine de sel aléatoire ? en BD ? Si en BD où ?

[stealth35]

stealth35 d'accord. Quand tu parles de salt, c'est la gaine de sel aléatoire on est d'accord ?

Donc ok je hash je stock le mot de passe hasher, mais où est-ce que je stocke la graine de sel aléatoire ? en BD ? Si en BD où ?

c'est grain de sel (c'est sel tout cours d’ailleurs)

non le salt doit se trouver dans ton appli,

[Alpha573]

tu veux dire une salt codée en dur.
Mais moi j'aimerais ajouter un bout de truc aléatoire vous voyez ce que je veux dire ?

hash=password+salt en dur+ salt aléatoire

[stealth35]

tu veux dire une salt codée en dur.
Mais moi j'aimerais ajouter un bout de truc aléatoire vous voyez ce que je veux dire ?

hash=password+salt en dur+ salt aléatoire

oui en dur, pas besoin de salt aléatoire avec la formule que j'ai mis plus haut

[Marc3001]

A partir du moment où tu veux ajouter de l'aléatoire, tu vas être obligé de le stocker avec un lien entre ce grain de sel et le mot de passe hashé. Du coup je vois que la base de données.

Dans le principe, j'vois pas trop l’intérêt de stocker le grain de sel dans le même endroit que le hash....

[Alpha573]

Excusez moi je dois être un peu lourd, mais je veux une salt aléatoire parce-que je sais que ça se fait, mais je sais pas comment le mettre en place.

[stealth35]

Excusez moi je dois être un peu lourd, mais je veux une salt aléatoire parce-que je sais que ça se fait, mais je sais pas comment le mettre en place.

si tu veux absolument un salt aléatoire (même si c'est pas justifiable le "parce que ca se fait") il va falloir le stocker en base, donc ca revient au même de mettre le pseudo ...

[Marc3001]

On peux d'ailleurs se poser la question d'un grain de sel stocké en base...

Car si le pirate veux décrypter des mots de passe hashé, c'est qu'il a accès à la BDD (c'est là qu'il a récupéré les hash) et donc au grain de sel.....

[grunk]

On pourrait aussi ajouter un salt aléatoire à l'aléa qui construit le salt du password non ?

[stealth35]

On pourrait aussi ajouter un salt aléatoire à l'aléa qui construit le salt du password non ?

t'as toujours besoin de stocker le salt qui soit en dur ou en base,
le plus simple est

hash = salt (en dur) + username (en base) + password (en base)

c'est inutile de faire un salt aléa en base

[Marc3001]

t'as toujours besoin de stocker le salt qui soit en dur ou en base,
le plus simple est

hash = salt (en dur) + username (en base) + password (en base)

c'est inutile de faire un salt aléa en base

J'suis plutot d'accord, ça permet si hack de la BDD de ne pas avoir d'indice sur le salt car celui-ci sera déporté dans le code.

[stealth35]

J'suis plutot d'accord, ça permet si hack de la BDD de ne pas avoir d'indice sur le salt car celui-ci sera déporté dans le code.

exactement

[Alpha573]

Alors j'ai trouvé la solution.
J'utilise un salt en dur ET un salt aléatoire en BDD, mais, le salt en dur est positionné après les 3 premiers caractères du password, ensuite le password et ensuite le salt en dur.
Donc si je me fais piquer la BDD, même s'il ont la salt aléatoire, ils savent peuvent pas trouver car ils ont pas l'implémentation.
Merci bien.
Bonne journée.

[Marc3001]

J'utilise un salt en dur ET un salt aléatoire en BDD, mais, le salt en dur est positionné après les 3 premiers caractères du password, ensuite le password et ensuite le salt en dur.

Tu le mets où le salt aléatoire?

[Alpha573]

En BD, dans un champ de la table qui contient les identifiants des utilisateurs.
Mais c'est pas un problème car si je me fais piquer ma BD, le pirate ne sait pas "où" est située le salt aléatoire dans le password hashé.