Discussion :

[Lyna31]

Bonjour, je ne sais pas si c'est le bon endroit pour poser cette question

Je suis en PHP et dans la base mySQL, les mots de passe sont cryptés en smd5.

L'utilisateur qui veut se connecter tape son mot de passe et je veux voir s'il est correct.

Comment faire pour le tester ?

J'ai testé des choses et il s'avère que pour un mot de passe les 12 premiers caractères du crypté et du en clair sont identiques mais pas la fin. Est-ce normal ?

Merci d'avance.

[s.n.a.f.u]

En fait, tu ne testes pas le mot de passe en clair, vu que c'est impossible de décrypter ce qu'il y a dans la base.
Donc tu cryptes le mdp envoyé et tu compares ce résultat à la donnée en base.

[Lyna31]

Je me suis mal exprimée désolée.
Justement je crypte le mot de passe en clair et je comparre à celui en base... mais à part les 12 premiers caractères rien n'est identique.
Je voulais savoir si c'était normal pour ce type de cryptage ou non. (pour savoir comment faire mes tests)

[s.n.a.f.u]

Il te manque sûrement le "grain de sel" : smd5 est pour "salted md5" c'est à dire qu'il faut en plus connaître ce fameux grain de sel pour pouvoir crypter à l'identique.
Il est souvent mis dans un fichier de config commun. Tu peux aussi chercher une variable $seed, c'est un nom assez commun.

[Lyna31]

olala ça se complique. Merci pour le grain de sel, je pars à sa recherche

[mathieugamin]

En fait, quand tu traites ton formulaire, tu fais une fonction de hashage avec md5().

Normalement, si le mot de passe a été hashé avec la même fonction, la comparaison sera bonne !

Je ne connais pas la fonction smd5, seulement la md5 et elle renvoie les mêmes caractères :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php
echo md5('Mathieu').'<br>';
echo md5('Mathieu');
?>

donne

206299fa740a4327a61b67b6be5c8373
206299fa740a4327a61b67b6be5c8373

Cette fonction est très bien supportée par MySQL, donc refais ton test avec cette fonction sinon... il doit y avoir un autre problème...

Si ça ne fonctionne pas, donne nous ton code pour qu'on y voit plus clair

[Lyna31]

Alors apparemment le grain de sel était directement dans la fonction.
(le cryptage a été effectué pour une autre applique la mienne et je recupere des données dans la base de données de cette apli donc ce code n'est pas le mien mais je le réutilise)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
function auth_verifyPassword($clear,$crypt){
 
 
  $method='';
  $salt='';
 
  //determine the used method and salt
  $len = strlen($crypt);
  if(substr($crypt,0,3) == '$1$'){
    $method = 'smd5';
    $salt   = substr($crypt,3,8);
  }elseif(substr($crypt,0,6) == '{SSHA}'){
    $method = 'ssha';
    $salt   = substr(base64_decode(substr($crypt, 6)),20);
  }elseif($len == 32){
    $method = 'md5';
  }elseif($len == 40){
    $method = 'sha1';
  }elseif($len == 16){
    $method = 'mysql';
  }elseif($len == 41 && $crypt[0] == '*'){
    $method = 'my411';
  }else{
    $method = 'crypt';
    $salt   = substr($crypt,0,2);
  }
 
    if($clear==$crypt)
    {
        return true;      
    }
 
  echo "<br>crypté : $crypt";
  $bla = auth_cryptPassword($clear,$method,$salt);
  echo "<br>on crypte ça : $bla";
 
 
  //crypt and compare
  if(auth_cryptPassword($clear,$method,$salt) === $crypt){
      return true;
  }
  return false;
}

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
function auth_cryptPassword($clear,$method='',$salt=''){
 
  global $conf;
  if(empty($method)) $method ='smd5';
 
  //prepare a salt
  if(empty($salt)) $salt = md5(uniqid(rand(), true));
 
  switch(strtolower($method)){
    case 'smd5':
        return crypt($clear,'$1$'.substr($salt,0,8).'$');
    case 'md5':
      return md5($clear);
    case 'sha1':
      return sha1($clear);
    case 'ssha':
      $salt=substr($salt,0,4);
      return '{SSHA}'.base64_encode(pack("H*", sha1($clear.$salt)).$salt);
    case 'crypt':
      return crypt($clear,substr($salt,0,2));
    case 'mysql':
      //from http://www.php.net/mysql comment by <soren at byu dot edu>
      $nr=0x50305735;
      $nr2=0x12345671;
      $add=7;
      $charArr = preg_split("//", $clear);
      foreach ($charArr as $char) {
        if (($char == '') || ($char == ' ') || ($char == '\t')) continue;
        $charVal = ord($char);
        $nr ^= ((($nr & 63) + $add) * $charVal) + ($nr << 8);
        $nr2 += ($nr2 << 8) ^ $nr;
        $add += $charVal;
      }
      return sprintf("%08x%08x", ($nr & 0x7fffffff), ($nr2 & 0x7fffffff));
    case 'my411':
      return '*'.sha1(pack("H*", sha1($clear)));
    default:
      msg("Unsupported crypt method $method",-1);
  }
}

les tests :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
  echo "<br>crypté : $crypt";
  $bla = auth_cryptPassword($clear,$method,$salt);
  echo "<br>on crypte ça : $bla";

Resultat :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
crypté : $1$d7513e4f$FDEh7YeFxf6R8OCKJdVgl/
on crypte ça : $1$d7513e4f$V0KytImsRVULo/aHG/uHn.

[s.n.a.f.u]

Et tu mets quoi dans $salt ?

[Lyna31]

Dans la premiere fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$salt   = substr(base64_decode(substr($crypt, 6)),20);

et dans la seconde :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if(empty($salt)) $salt = md5(uniqid(rand(), true));

...
Aaaaa faut que je trouve quoi mettre dans le $salt pour éviter qu'il me fasse un rand donc.....


Je dois partir je reviens sur ce pb demain matin ><

Merci beaucoup en tout cas !
En espérant vous revoir demain