Discussion :

[Cybercope]

Bonjour à tous !

Je développe une application mais j'ai besoin de sauvegarder des données confidentielles (mots de passe). Je ne sais pas trop quel procédure utiliser.
Créer un document texte et le crypter ?
Utiliser les paramètres (settings) ?
Utiliser une extension ?

Merci de votre aide

[jopopmk]

Salut,

les mots de passe que tu veux conserver servent à se connecter ou tu comptes te faire un portefeuille de mot de passes ? Dans le premier cas tu pourras faire un hash (avec un salt ? mais comment le conserver sans qu'il soit facilement accessible), dans le second réfléchir à l'utilisation d'une PKI.

Pour la localisation de tes enregistrements il me semble que les settings sont accessibles par l'utilisateur final, du coup ça où un fichier à plat y'a pas une grosse différence (à confirmer tout de même).

Enfin je ne sais pas bien ce que t'entends par "extension".

[DotNetMatt]

avec un salt ? mais comment le conserver sans qu'il soit facilement accessible)

Le rôle du salt est juste de se prémunir contre l'utilisation des tables de brute force (ex. Rainbow Tables). En gros, ca rend une attaque par brute force beaucoup plus coûteuse (mémoire/CPU). Il n'y a aucune contre indication pour stocker le salt et le hash du mot de passe dans la même table.

Cela dit, si un seul salt est utilisé pour tous les mots de passe, l'attaquant n'aura besoin de faire le calcul qu'une seule fois... S'il y a un salt par mot de passe, c'est une autre histoire. Donc il vaut mieux utiliser un salt différent par mot de passe.

Il est même recommandé d'aller encore un peu plus loin, en faisant un hash du hash du hash... Vu qu'un attaquant peut aujourd'hui accèder très facilement à de grosses puissances de calcul CPU, il est recommandé d'utiliser PBKDF2 qui est dispo en .NET via la classe Rfc2898DeriveBytes. C'est un standard éprouvé pour réaliser ce genre d'opération. La recommandation est de dériver le hash 1000 fois...

A lire pour info et des exemples de code : Salted Password Hashing - Doing it Right

[jopopmk]

Le rôle du salt est juste de se prémunir contre l'utilisation des tables de brute force (ex. Rainbow Tables). En gros, ca rend une attaque par brute force beaucoup plus coûteuse (mémoire/CPU). Il n'y a aucune contre indication pour stocker le salt et le hash du mot de passe dans la même table.

Oui mais si l'attaquant connait le salt (car trouvable facilement dans un fichier à plat/settings), ça ne change rien au coût, nop ?
Après je laisse la décision au développeur d'utiliser n fois sa fonction de hash favorite.

[DotNetMatt]

Oui mais si l'attaquant connait le salt (car trouvable facilement dans un fichier à plat/settings), ça ne change rien au coût, nop ?

Encore une fois, le salt sert juste à complexifier une attaque par force brute (dictionnaire ou rainbow table). Il ralentit l'attaquant car ca demande plus de temps, et ca consomme plus de mémoire.

En gros, sans salt, l'attaquant peut faire hash(tentative[0]) et comparer le résultat : si le hash obtenu est le même que celui dans la DB alors bingo, sinon il continue avec tentative[1] etc.

Avec salt, l'attaquant doit faire hash(salt[a] + tentative[0]) puis hash(salt[b] + tentative[0]) etc. Donc le coût est plus élevé.

Si tu as le temps et l'envie, jette un oeil au lien que j'ai donné plus haut, dans la partie sur le Salt il y a des exemples et des explications un peu plus détaillées

[jopopmk]

De ce que je comprends de la demande, et en partant du principe qu'on n'est pas dans le cas d'un portefeuille de pass ^(*), Ind6x veut sérialiser à travers un fichier à plat (settings ou maison) un couple user/pass sans qu'un utilisateur qui aurait accès audit fichier puisse exploiter l'information s'y trouvant. Or si l'attaquant tombe sur un enregistrement de type : user/salt/pass_hashé, le salage perd fortement de son utilité (hors méthode de salage exotique). Toi tu pars du principe qu'on ne connait pas ce salt

^(*) oui, parce qu'on cause mais on sait toujours pas bien ce qu'il veut ^^

[DonQuiche]

Oui mais si l'attaquant connait le salt (car trouvable facilement dans un fichier à plat/settings), ça ne change rien au coût, nop ?
Après je laisse la décision au développeur d'utiliser n fois sa fonction de hash favorite.

Tu te fiches que l'attaquant voit le sel, tant que ce sel est unique (utilisé une seule fois pour une seule personne).

Sans ce sel il suffirait d'investir massivement dans une grosse rainbow table pour pouvoir ensuite déchiffrer rapidement plusieurs utilisateurs.

[Cybercope]

Salut !


oui effectivement c'était le Framerwork qui n'était pas a jour ! j'ai le pas retéléchargé car entre temps (hier) j'ai téléchargé visual c# express donc il m'as mit a jour mon framework ! et maintenant ca fonctionne ! merci !


Donc si j'ai bien compris, la valeur que prend label1 est bien celle de textbox1 hachée ?!
et label2 c'est le salage !

Cepandant pourquoi je ne retrouve pas le salage dans le hach ?!


Merci !