Discussion :

[jak0]

Bonjour,

Je vous demande un peu d'aide concernant le MD5. Je ne connais pas trop les mécanismes de génération d'un MD5. Et j'aurai quelques petites questions à ce sujet ^^
Premier cas, quand je génère un MD5 via PHP ou MySQL, ça me donne un résultat en hexa.
Par exemple, le mot 'secret' :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
mysql> select MD5('secret');
+----------------------------------+
| MD5('secret')                    |
+----------------------------------+
| 5ebe2294ecd0e0f08eab7690d2a6ee69 |
+----------------------------------+

Mais quand j'utilise un MD5 généré par Linux, ca me sors un truc ommençant par $1$ :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
root@sd-***:~# userdbpw -md5
Password:secret
$1$6NjG3t8G$rl8LR9kxqsuOnkTRCV8wh0

Pourquoi est-ce différent ??
Deuxième cas, je suis entrain d'installer un serveur Courier qui utilise une BDD MySQL pour les utilisateurs virtuels. Je stocke mes mots de passes en MD5 Hexa, et Courier nécessite des MD5 $1$. Comment je fais pour les convertir ??

Merci d'avance de vos réponses.

[DjinnS]

Salut,

J'ai toujours remarqué aussi cette différence suivant les outils qui faisait du MD5. Il me semble que la chaine $1$ permet de répèrer que c'est du MD5, sinon comment le savoir, sans faire la comparaison en partant du principe que c'est du MD5 ... donc ca peut être une optimisation que de vérifier préalablement si la chaine a bien le format MD5.

Pour ton probleme Courier/mySql, je crois que la seule solution est de stocker le mot de passe au bon format. Je ne sais pas ce que tu utilises comme MTA et comme processus pour créer tes comptes, mais je te propose ceci:

Postfix (le seul et unique MTA :p) avec Postfix Admin (recherche google), appelé aussi pfadmin.

Je n'ai jamais eu de problème entre les mots de passe de la bdd et ceux pour courier, etant donné que c'est le PHP qui fait le MD5 et non mysql.

Sinon, eventuellement, tu peux tricher dans la requete sql:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

insert into tatable password values('$&$' MD5('pwet'));

Non testé, mais l'idée est là ^^

[Celelibi]

Le md5 qui commence par $1$ c'est du md5 salé (à la BSD). Le salage dépend généralement de l'heure qu'il est, c'est à dire que tu si chiffe un mot de passe à plus d'une seconde d'intervalle tu obtiendras deux hash différents.
La méthode de vérification du mot de passe est bien entendu plus compliqué qu'avec le md5 "normal".

Il n'y a à ma connaissance de moyen de convertir l'un vers l'autre car ça reviendrait à casser en partie le MD5.

[jak0]

Salut,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

insert into tatable password values('$&$' MD5('pwet'));

Non testé, mais l'idée est là ^^

A ce niveau là, ça ne marchera pas... Même en mettant la chaine '$1$' devant, il n'en restera pas moins que le MD5 en hexa restera en hexa et que l'autre a des caractères spéciaux dedans... ^^

Merci Celelibi pour ces informations. Ca me désole !!!
Saurai-tu comment est généré le hash salé ?? Je veux dire, est-ce que le hash salé provient d'un md5 hexa, ou est-ce que c'est une méthode totalement indépendante ?

[Celelibi]

Il me semble que le salage intervient en plein milieu du processus de hashage. C'est une fonction différente mais avec des bouts de code communs.

[DjinnS]

ET bien merci pour l'explication, j'avoue n'avoir jamais eu l'idée d'aller voir ce que ca impliquai.

Au moins je me coucherais moins con ce soir !

Effectivement, ma solution ne tiens pas la route du coup, elle est complètement à oublier.

[jak0]

OK merci bien pour toutes ces infos. Je vais essayer 2-3 trucs collectés ça et là. Et je reposterai concernant ça, au cas où, ça interesse quelqu'un.
Je taguerai le post en résolu à ce moment là (même si pas tout à fait ^^)

[jak0]

J'ai finalement réussi à obtenir un élément de réponse.

En fait, c'est plus un salt crypt de md5 que du md5...
Si tu prend la chaîne : $1$6NjG3t8G$rl8LR9kxqsuOnkTRCV8wh0
Les $ sont en faite des balises permettant de séparer les paramètres.
Le premier paramètre, ici 1, indique que la fonction de hash utilisée est MD5 (1->md5, 2a->blowfish)
Le second paramètre, ici 6NjG3t8G, indique la chaîne de salt.
Le dernier paramèter, ici rl8LR9kxqsuOnkTRCV8wh0, est résultat du cryptage.

J'ai réussit à obtenir ce même résultat en utilisant la fonction PHP :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

crypt($str, $salt)

Un exemple :
chaine = string
sel = $1$salt
cryptage = crypt("string", "$1$salt") = $1$salt$zQ85DZwaOPzoVL57BgVNP0

Donc, c'est un crypt de MD5 ou un truc du genre...

[jak0]

Par contre, ça ne résoud toujours pas mon problème de reconnaissance des mots de passes encrypté en MD5 par Courier-MTA...