Discussion :

[Alpha573]

Bonjour,

Dans le cadre d'un projet perso, je développe un forum en PHP.
Pour stocker les mots de passe en BDD, je les hash avec sha1.
J'ajoute aussi une phrase fixe que je concatène au mot de passe avant de hasher.

J'aimerais ajouter une graine de sel, afin de générer une chaine de caractère aléatoire que je concatène au mot de passe et à la chaine fixe. De cette manière, deux utilisateurs qui ont le même mot de passe n'auront pas le même hash si j'ai bien compris.

Je me retrouve embêté pour comparer les hash au moment de la phase d'authentification étant donné que la graine de sel est aléatoire.
Alors je voulais demander où stocker cette graine sel et comment mettre ça en place.

Merci beaucoup !

[Etanne]

Salut,

Tu pourrais utiliser le nom de l'utilisateur pour ton grain de sel

Etanne

[Marc3001]

Sur Spip, le grain de sel est stocké en base.

[Alpha573]

Heu oui mais ça serait peut être plus "secure" d'avoir une graine de sel aléatoire non ?
Mais après il faut bien que je la stocke cette graine de sel aléatoire et j'aimerais bien mettre ça en place dans la règles de l'art .

[stealth35]

Heu oui mais ça serait peut être plus "secure" d'avoir une graine de sel aléatoire non ?
Mais après il faut bien que je la stocke cette graine de sel aléatoire et j'aimerais bien mettre ça en place dans la règles de l'art .

fait :
hash = salt + username + password

[Alpha573]

stealth35 d'accord. Quand tu parles de salt, c'est la gaine de sel aléatoire on est d'accord ?

Donc ok je hash je stock le mot de passe hasher, mais où est-ce que je stocke la graine de sel aléatoire ? en BD ? Si en BD où ?

[stealth35]

stealth35 d'accord. Quand tu parles de salt, c'est la gaine de sel aléatoire on est d'accord ?

Donc ok je hash je stock le mot de passe hasher, mais où est-ce que je stocke la graine de sel aléatoire ? en BD ? Si en BD où ?

c'est grain de sel (c'est sel tout cours d’ailleurs)

non le salt doit se trouver dans ton appli,