Discussion :

[elitemedia]

Salut,

Pour une application assez simple de zone membre, je ne veux pas tomber dans la paranoia de la sécurité, juste qu'on ne puisse pas retrouver les mots de passe de mes utilisateurs. J'ai donc fais le choix de les stocker en Base de données.

Ma question porte sur les différences entre MD5 et la fonction crypt.
Sachant que Crypt propose un attribut "grain de sel", ne vaut t'il pas mieux l'utiliser plutot que MD5 ?

Sinon, quelle processus en partant de la création du compte de l'utilisateur par lui même vaut t'il mieux que j'envisage pour stocker ces mots de passe ? Je cherche une méthode plutôt que des scripts.

Christophe

[Eusebius]

MD5 peut utiliser un grain de sel aussi.
Ca devrait t'intéresser : http://matthieu.developpez.com/authentification/

[elitemedia]

oui justement, j'avais lu ca, mais sachant que Crypt intègre ce grain de sel dans ses paramètres, je ne comprends pas pourquoi cette dernière est si peu utilisé dans la plupart des scripts ?

Est-ce que les 2 fonctions ont le même niveau de sécurité ?
Qu'en est t'il de Sha1 également ?

[Eusebius]

oui justement, j'avais lu ca, mais sachant que Crypt intègre ce grain de sel dans ses paramètres, je ne comprends pas pourquoi cette dernière est si peu utilisé dans la plupart des scripts ?

Est-ce que les 2 fonctions ont le même niveau de sécurité ?
Qu'en est t'il de Sha1 également ?

Pour la comparaison de l'entropie des algos de hash, je te conseille plutôt un forum sécurité... Mais il me semble me souvenir qu'on peut faire un peu mieux avec sha qu'avec md5.

[elitemedia]

Je cite l'en-tête du forum: "Sécurité - Sessions, cookies, cryptage de données, etc.". Il semblerait que j'ai posté dans le bon forum

Bon en fait je ne cherche pas de comparaison au plus haut niveau de cryptage comme je l'ai dit dans mon premier message, juste savoir si l'utilisation de MD5 était suffisante pour la sécurité des mots de passe stockés crypté en base de données.

Je dois dire aussi que cette histoire de "grain de sel" intégré à Crypt m'interpelle et j'aimerais savoir pour quelle raison je ne trouve pas 1 seul script qui l'utilise avant de me risquer moi même à son utilisation.

Bon sinon, j'ai downloadé le script de la page traitant des espaces membres et je vais l'étudier pour voir quel processus est mis en place pour le stockage, ca sera surement un début de réponse.

[Eusebius]

Je cite l'en-tête du forum: "Sécurité - Sessions, cookies, cryptage de données, etc.". Il semblerait que j'ai posté dans le bon forum

Oui oui, mais en fait je me demandais s'il y avait pas un forum vraiment algo/crypto, pas un sous-forum de php... mais en fait non