Discussion :

[JokerAs]

Bonjour, je possède un site, codé en php, base de donnée mysql dans laquelle le stocke des données. Mots de passes crypté.

Cependant, ce site, il va être pratiquement commun a plusieurs entreprises. Et je ne peux changer le type de cryptage. Je cherche donc a cacher au maximum cette informatique de cryptage.

J'avais pensé a réaliser un module apache, mais je crois que ces fichiers peuvent être décompilé. Je ne sais pas comment faire. Etant donné de les entreprises auront le code source, elles auront cette information secrète.

Que faire ? merci pour votre aide

[Spartacusply]

Etant donné de les entreprises auront le code source, elles auront cette information secrète.

Euh... c'est quoi l'information secrète ? Les mots de passe ? Si c'est ça, tu peux gérer les droits d'accès sur la table qui contient les mots de passe en utilisant différents utilisateurs MySQL.

[JokerAs]

En fait, le problème c'est que j'utilise le même type de hash, avec le même salt pour toutes les entreprises. Je suis obligé, (pour l'accès aux autres services). Et le truc, c'est qu'ils doivent pouvoir utiliser le site web, en local si jamais il y a une panne. Si ils connaissent le type de salt, ils connaissent les mots de passes.

Leurs droits, c'est l'accès root. Vu que c'est dans un pc dans leur entreprise.

[Spartacusply]

Si ils connaissent le type de salt, ils connaissent les mots de passes.

C'est là que je comprend pas, la connaissance du salt n'est normalement pas suffisante pour connaître les mots de passe, cette connaissance permet juste de tenter de pouvoir retrouver les mots de passe par force brute (vu que c'est pour éviter ça qu'ont été créer les grains de sel justement)...

[JokerAs]

Avec le mot de passe crypté, et la méthode de cryptage. Le calcul est vite fait.

[crozet.magenta]

Heu...
un mot de passe crypte ne peut pas etre decrypte. il n'y a pas de fonction inverse. le seul moyen de retrouver le mdp en connaissant le hash et le salt c'est de tout essayer et de comparer les hashs obtenus. (bruteforce)

[Spartacusply]

C'est pas si simple que ça, il a été trouvé des manières afin de casser des algorithmes considérés comme obsolètes maintenant, comme md5 et sha1.

Par contre, si c'est bien crypté justement (avec 'blowfish' ou 'sha512' par exemple), c'est pas si simple que ça, ils peuvent y aller, il devrait pas trouver grand chose avant quelques millions d'années.

Mais je suppose que ce n'est pas le cas, sinon ta demande n'aurait pas lieu d'être.

Deux solutions s'offrent à toi :

- Cacher le salt, mais là je vois pas comment tu peux faire si tu leur file le code source...
- Entamer un processus permettant d'augmenter la sécurité des mots de passe : au prochain login réussi, tu réécris le mot de passe beaucoup mieux hashé (avec un salt aléatoire, calculé directement et que tu n'as donc pas as indiqué, ce qui résoudrait ton problème).

A noter que j'espère que tu as une politique assez stricte de gestion des mots de passe (8 caractères mini, pas de mot du dico, chiffrs, caractères spéciaux... etc), sinon évidemment tout cela ne sert strictement à rien.

[NarOneR]

Ce n'est pas le débat mais il faut utiliser "chiffrer" le mot "crypter" n'existe pas en français.
Ceci fait je confirme ce que dit Spartacusply si tu utilise du SHA512 le risque de déchiffrer le mot de passe même avec le salt est très faible.

[Spartacusply]

En fait, si "crypter" existe dans la langue française.

Par contre, c'est vrai qu'il y a un abus de langage : on devrait dire "hasher" (le cryptage est réversible, le hashage ne l'est pas).

[NarOneR]

Pour avoir eu une formation par un gars spécialisé je t'assure que non : http://www.wikiwand.com/fr/Chiffrement

[JokerAs]

Merci pour tous vos conseils, mais je pense que je vais passer par un script CGI en C. Sa sera plus simple je pense. Aucun risque (enfin ..)