Discussion :

[Portus]

Bonjour,

Que me conseilleriez-vous pour stocker des mots de passe dans une BDD.
Sha1 semble devenir obsolète, je pensais me tourner vers Sha256 ou Bcrypt.

Il faudra que cela soit compatible avec PHP.

Merci d'avance.

[autran]

SHA256 --> je dirai même SHA512
Il ne faut pas se demander si on est trop parano mais si on l'est assez.

Mais il faut aussi savoir si tu veux que ce soit le SGBD qui te calcule le hash ou ton appli
Si c'est le SGBD alors tout dépend du SGBD
Si c'est l'appli tout dépend de ton langage.
Pour PHP tu as la fonction mhash()

Mais tu sais qu'ici on est sur un forum JAVA

Bonne continuation

[Portus]

Ok merci.

Je développe une application en fait, d'où la nécessité que ce soit compatible à la fois avec Java et PHP.
Car l'utilisateur peut s'authentifier via l'appli et je ne souhaite pas que le mot de passe transite en clair (hash avant envoi de la requête HTTP).

A moins que ça ne fasse double emploi si j'utilise HTTPS ?

[thelvin]

Il y a rarement double emploi en sécurité.

En l'occurrence, si tu fais un hash, rien ne peut justifier de le faire moins bon.
Et si tu ne fais pas de hash, dans ce cas, d'une part l'application stocke le mot de passe de son côté, ce qui rend possible que des pirates aillent le trouver ; et d'autre part cela rend possible une attaque man-in-the-middle complexe (car bon, c'est pas facile de faire ça sur du HTTPS, mais impossible ça n'existe pas.)