Discussion :

[Sergejack]

--

[Eusebius]

Je ne vois pas l'intérêt. Ce qui permet l'accès reste la clé, à la charge de l'utilisateur.
A quoi sert le mot de passe en base de données, exactement ?

[Yogui]

Salut

J'ai l'impression que tu as simplement inversé les termes : ta clef est en fait le mot de passe, et ton mot de passe est en fait la clef.

[Eusebius]

Salut

J'ai l'impression que tu as simplement inversé les termes : ta clef est en fait le mot de passe, et ton mot de passe est en fait la clef.

Ca change rien à ma question : à quoi sert la partie qui est conservée sur le serveur, celle qui est chiffrée avec l'info de l'utilisateur ? Je pige pas

[Yogui]

C'est le grain de sel.
Tu enregistres un grain de sel pour tout le site ou pour chaque utilisateur et tu l'utilises pour modifier le mot de passe (contacténation, ce que tu veux). C'est cette nouvelle chaîne que tu cryptes avant de la stocker en BDD et c'est elle que tu utiliseras en lieu de mot de passe.

C'est une pratique très utilisée.

Exemple par Chris Shiflett

Stockage du mot de passe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<?php
 
/* $password contains the password */
 
$salt = 'DEVELOPPEZ';
$password_hash = md5($salt . md5($password) . $salt));
 
/* Store password hash */
 
?>

Comparaison du mot de passe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?php
 
$salt = 'DEVELOPPEZ';
$password_hash = md5($salt . md5($_POST['password']) . $salt));
 
/* Compare password hashes */
 
?>

[Eusebius]

C'est le grain de sel.
Tu enregistres un grain de sel pour tout le site ou pour chaque utilisateur et tu l'utilises pour modifier le mot de passe (contacténation, ce que tu veux). C'est cette nouvelle chaîne que tu cryptes avant de la stocker en BDD et c'est elle que tu utiliseras en lieu de mot de passe.

Oué, ça je comprends... C'est pour augmenter l'entropie du hashage ?
Mais c'est bien ça qui est fait ici ???

[Yogui]

Si la BDD est compromise, les mots de passe ne seront pas récupérables car tu n'as pas utilisé un simple md5 mais aussi augmenté l'entropie du hash. Il faudrait au pirate toutes les infos pour espérer décoder les mots de passe, ce qui lui complique passablement la tâche.

[Yogui]

Tu as conservé ta sémantique pour écrire ce dernier message ou bien tu as repris la terminologie du reste du monde ?

[Edit] Ce qui est appelé "mot de passe" est une chaîne choisie par l'utilisateur (ou du moins qu'il possède et utilise), tandis que la "clef" ne lui est pas nécessairement communiquée (puisque c'est une donnée automatisée).

[Sergejack]

Je n'ai pas devinné que mon vocabulaire portait à confusion, je reprends.

En consiérant 3 chaînes de caractères, A, C, RA.

A est crypté avec la clé d'encryption C et donne RA, résultat de l'encryption.

J'utilise une encryption à clé plus sûre que le MD5 qui a été cassé.
J'ai un site où j'utilise une seule clé d'encryption pour toutes les encryptions et je garde cette clé dans un fichier de configuration.

Est-ce que, encryptant tous les mot de passes avec cette même clé, l'utilisateur gagnerait en sécurité en changeant régulièrement son mot de passe ?

[Eusebius]

on gagne toujours en sécurité en changeant souvent de mot de passe.

point de vue vocabulaire, je ne crois pas qu'on parle de clé pour un algo de hash, vu que la "clé" ne permet pas l'opération inverse.

C'est quoi que tu utilises comme algo, par curiosité ?

[Sergejack]

on gagne toujours en sécurité en changeant souvent de mot de passe.

Ce n'est pas dit, parce que cela doit dépendre du bon choix du traitement fait au MDP.

Si l'on a deux séries A[] et RA[] (de longuer n) de chaînes de caractère, et une chaîne de caractère C qui sert de clé d'encryption.
Où un élémént RA[x] correspond à l'encryption de l'élément A[x] avec la clé C.

Le hacker potentiel connait A[] et RA[] n'aurait-il pas d'autant plus facile à retrouver C que ces séries seraient longues ?

C'est quoi que tu utilises comme algo, par curiosité ?

AES implémenté dans MySQL Ici

[Eusebius]

Le hacker potentiel connait A[] et RA[] n'aurait-il pas d'autant plus facile à retrouver C que ces séries seraient longues ?

Si, mais il faut pour cela qu'il récupère tout l'historique, Non ? Et de plus lorsqu'on change de mot de passe, il n'y a a priori pas de relation entre le chiffré de l'un et le chiffré de l'autre.
Alors que si le changement de mdp est moins fréquent, si ta connexion n'est pas chiffrée (mais bon j'imagine qu'elle l'est), si qqn sniffe le mot de passe de l'utilisateur, qu'il y ait AES derrière ou pas, il sera valable jusqu'à ce qu'il soit changé.

AES implémenté dans MySQL

OK, donc pas comparable avec MD5, c'est pas un algo de hash.

[ghohm]

C'est le grain de sel.
Tu enregistres un grain de sel pour tout le site ou pour chaque utilisateur et tu l'utilises pour modifier le mot de passe (contacténation, ce que tu veux). C'est cette nouvelle chaîne que tu cryptes avant de la stocker en BDD et c'est elle que tu utiliseras en lieu de mot de passe.

C'est une pratique très utilisée.

Exemple par Chris Shiflett

Stockage du mot de passe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<?php
 
/* $password contains the password */
 
$salt = 'DEVELOPPEZ';
$password_hash = md5($salt . md5($password) . $salt));
 
/* Store password hash */
 
?>

Comparaison du mot de passe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?php
 
$salt = 'DEVELOPPEZ';
$password_hash = md5($salt . md5($_POST['password']) . $salt));
 
/* Compare password hashes */
 
?>

Merci beaucoup Chris Shiflett !

Il serait intéressant de le mettre dans les sources PHP, non ?

Gôm

[Yogui]

En effet mais nous sommes en train de prévoir quelque chose de plus complet, merci de nous laisser un moment pour finaliser tout cela.

[Sergejack]

Un exemple reprennant l'essemble des rêgles de sécurité serait plus approprié.

Stockage du mot de passe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<?php
 
$password_hash = $_POST['md5_password']; // pasword hshé du côté client
 
/* Store password hash */
 
?>

Comparaison du mot de passe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<?php
 
// $salt dynamique stocké dans une variable de Session, et mise à connaissance du client via un JS dans la page précédement envoyé
$password_hash = md5($salt . $md5_password . $salt));
 
/* Compare password hashes */
 
// ($password_hash == $_POST['md5_passwordAndSalt'])
 
?>