Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
[Système] Quel système de hash utiliser ? Comment le faire évoluer ?
Bonjour,
Il semblerait que le hash md5() a été cassé ...
Quel hash me conseilleriez vous ?
De plus comment faire pour permettre une évolution du système ? En effet, ce n'est qu'une question de temps avant que le hash que vous me proposiez ne soit lui même cassé ...
Donc à ce moment là il faudra utiliser un autre système ... mais comme les mots de passe seront hashés, comment les faire évoluer vers une autre plate forme ?
D'avance merci pour vos réponses !
Quel est ton besoin ? Pourquoi utilises-tu md5 ?
C'est pour crypter les mots de passe enregistrés dans les tables.
Donc le md5 n'est contenu que dans la base. Il faut donc que le vilain ait accès à la base pour se procurer ces md5. Du coup si il a accès à la base, il peut tout faire sans avoir besoin de regarder les mots de passe (qu'ils soient cryptés ou non) : drop database ou pire s'accorder des droits...
Maintenant si il prend un md5 et le casse, il va obtenir le mot de passe d'un utilisateur. Avec un peu de chance il pourra s'en resservir sur un autre site, les gens ayant tendance à ne pas multiplier les mots de passe et garder le meme d'un site à l'autre. Mais bon ça relève plus de la responsabilité de l'utilisateur. Il faut bien comprendre que le risque zero n'existe pas...
Ce sujet est largement abordé dans le tutoriel Chiffrement et hash en PHP contre l'attaque Man in the middle.
Justement c'est en ayant lu ce tutoriel que je me permet de poser cette question !Envoyé par julp
En choisissant l'un des hash proposé par l'auteur, comment par la suite le faire évoluer ... question qui ne trouve malheureusement pas de réponse, il me semble, dans ce tutoriel ...
L'évolution n'est pas possible : c'est le principe même du hash (irréversibilité). Le jour où vous souhaitez changer la manière dont ils sont stockés (grain de sel et/ou l'algorithme même - md5 vers shaX) vous devrez changer le mot de passe ou le forcer à tous vos utilisateurs : vous en régénérez des nouveaux aléatoirement que vous envoyez par mail à vos différents utilisateurs (en les invitant à en changer à leur prochaine connexion). Les solutions sont plus que limitées à ce niveau. C'était bien la question au moins ?
Répondre avec citation
Partager