IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

secruiser ses mot de passe


Sujet :

Langage PHP

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre confirmé
    Femme Profil pro
    Inscrit en
    Avril 2012
    Messages
    110
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations forums :
    Inscription : Avril 2012
    Messages : 110
    Par défaut secruiser ses mot de passe
    Bonsoir tout le monde!

    Je me pose quelques petites question sur la façon de sécuriser les mots de passe rentrer par l'utilisateur! Quel fonction de hachage faut il utiliser ?
    md5, Sha1 ,Bcrypt ou PBKDF2 ?

    ha1() couplé avec un ou deux grains de sels ?
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    <?php
    $mot_de_passe_hashe = sha1('Gr@1n2s3l1' . md5($mot_de_passe_en_clair) . 'gRaIn2$eL2');
    Faut il que c'est grains de sel soient aléatoire ? lié par exemple au pseudo de l'utilisateur ?

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    <?php
    $mot_de_passe_hashe = sha1('$pseudo_user' . md5($mot_de_passe_en_clair) );
    Faut il qu'un grain de sel ? deux? plus on en met plus les données sont sécurisées? peut on alors en mettre plus de deux ? Faut il que les grains de sel comportent des caractères speciaux ? faut il une longueur adequat ou plus le grain est long avec des caractères biscornu mieux c est?

    a quoi correspond Bcrypt et PBKDF2 ?


    Merci d'avance pour éclairer ma petite lanterne!

  2. #2
    Invité
    Invité(e)
    Par défaut
    Bonsoir,

    Le chiffrage du mot de passe avec sha1 (ou autre) et un « grain de sel » est amplement suffisant dans la plus part des cas. Le grain de sel peut être lié au nom d'utilisateur ou à une valeur aléatoire. C'est comme tu veux, mais le choix du nom d'utilisateur présente un avantage: il ne nécessite pas la création d'une colonne supplémentaire dans ta base de données. On dit que la solution la plus simple est toujours la meilleure.

    Il faut éviter d'implémenter des mécanismes complexes à ce niveau, l'essentiel étant de ne pas enregistrer les mots de passe « en clair » dans la base de données. Ce serait une grave négligence.

    Il faut opter pour une stratégie globale. Commence par imposer à tes utilisateurs le choix d'un mot de passe fort et dans la mesure du possible unique. De cette manière si un pirate parvient à mettre la main sur ta base de données il aura beau réussir à « décrypter » les mots de passe de tes utilisateurs: il ne pourra pas les réutiliser ailleurs que sur ton site.

    Bcrypt et PBKDF2 proposent des algorithmes de hachage plus évolués que md5 ou sha1. Ils sont plus solides mais plus difficiles à implémenter et à utiliser. C'est à toi de déterminer si ton projet requiert les grands moyens. Sans sombrer dans la « paranoïa sécuritaire »
    Dernière modification par Invité ; 13/05/2012 à 23h58.

  3. #3
    Membre confirmé
    Femme Profil pro
    Inscrit en
    Avril 2012
    Messages
    110
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations forums :
    Inscription : Avril 2012
    Messages : 110
    Par défaut
    Merci pour toutes ces précisions =)

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Stocker ses mots de passe sur un serveur distant sécurisé
    Par JackBeauregard dans le forum Firefox
    Réponses: 0
    Dernier message: 23/07/2011, 09h20
  2. Réponses: 0
    Dernier message: 13/08/2009, 15h36
  3. Réponses: 4
    Dernier message: 02/02/2009, 17h29
  4. Réponses: 2
    Dernier message: 22/01/2007, 17h19
  5. Au sujet des mots de passe
    Par FranT dans le forum Langage
    Réponses: 6
    Dernier message: 17/09/2002, 22h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo