Discussion :

[thebarbarius]

bonjour,

Je profite depuis quelque temps pour revoir mes méthodes de programmation.

Et parmi toutes les méthodes que j'utilise je me demande, s'il y a un vrai intérêt à crypter ses mots de passe stockés dans une BDD.

Certes le gain de temps est faible, mais quand on développe des dizaines de sites dans le mois, ça fait toujours ça.

Donc ma question : Ne pas crypter ses mot de passe en MD5, ouvre t'il de grosses failles de securité ?

Sinon comment en ne cryptant pas ses MDP, sécuriser ses scripts et sa BDD.

[Ze AzAr]

Moi je dirais que oui tu t'expose en mettant des mots de passe en claire...

par contre je ne comprends pas trop comment le cryptage MD5 te fais perdre du temps en dev...

Sinon déjà pour bien sécuriser ses script un beau htaccess avec un "DENY ALL" dedans pour être sur que Apache bloque définitivement l'accès aux scripts...
pour ce qui est de la bdd, mettre le script sur une zone non accessible par apache mais par php...

Donc par exemple en dehors de ton dossier 'www' et en mettant en dur le chemin complet de ton script comportant les info de connection à la BDD...

[sabotage]

Petite précision MD5 n'est pas un chiffrement (cryptage) mais une methode d'empreinte (hash).

Comme le dit Ze azar, utiliser MD5 c'est ajouter deux mots dans ton code, il n'y a pas de temps de developpement.
C'est justement une securité certes basique mais extremement simple à mettre en place.

[thebarbarius]

Merci.

Je repete ma question.


Existe t'il un moyen de protéger ses mdp aussi efficacement que le hash MD5 ?

[sabotage]

Qu'est ce qui ne te convient pas avec MD5 ?
Il existe tout plein d'algorithmes pour faire des empreintes :
http://www.php.net/manual/fr/function.hash-algos.php

[thebarbarius]

Comme precisé sur mon premier post, je souhaieterai eviter le hash.

Mais tout en sécurisant mon code.


Donc savoir si on peut securiser ses MPD sans passer par MD5.

[sabotage]

Si tu ne nous dis pas ce qui ne te convient pas avec le hash, c'est difficile de bien t'orienter.

[thebarbarius]

Et bien je veux tout simplement, trouver la solution, qui va me permettre de m'en passer tout en gardant la securité sur mes MDP stockés dans la BDD.

Pourquoi j'en veux pas du hash ?

Ya pas vraiment de raison valable, si ce n'est que je souhaite alléger mes script.

[Ze AzAr]

j'ai grave du mal à comprendre ce qui te motive sur ce point la... et difficile de t'apporter une solution, car le hash md5 est le cryptage le plus sur de nos jours...

Donc pour moi tu ne peux pas sécuriser ton code sans ca...

toute sécurité passera par un cryptage... après faire sans, tout dépend ce que tu veux sécuriser...

Mais le jour ou ta base tombe (se fait hacké) il chope tout tes mdp en claire... vu qu'ils ne seront pas crypter...

Par contre, par curiosité comment se passer du md5 peu alléger ton code???

[grunk]

Y'a pas de secret , tu veux protéger tes mots de passe, tu le fait via un hash (md5 , sha ...).
Tu peux encore améliorer la sécurité des hash en y ajoutant un salage , mais c'est accessoire.
Je suis pas très partisant du md5 de part ca populartité , on trouve relativement facilement des bdd de comparaison de hash, ce qui est moins vrai pour d'autre algo.
Quoi qu'il en soit ne pas protéger ses mots de pass par un hash (quelqu'il soit , est une grave faute de sécurité). L'idée est d'avoir quelque chose représentant ton mot de passe mais qui ne soit pas réversible (différence avec le cryptage).

Parler de performance avec l'utilisation de md5 est une erreur. TU vas l'utiliser une fois à l'enregistrement , une fois à la connexion, et une fois au changement de mot de passe. A mon avis il y'a d'autres piste à explorer avant de cherche rà optimiser l'utilisation d'une fonction de hash (qui reste très rapide)

[sabotage]

car le hash md5 est le cryptage le plus sur de nos jours...

md5 n'est pas un cryptage (mot qui ne s'utilise pas en français) mais un système d'empreinte (hash).
C'est au contraire un algorithme maintenant un peu faiblard, tout comme SHA-1 et on recommande d'utiliser des algorithmes plus robustes (SHA-512 bien que n'existant pas directement avec mysql, peut être utilisé via PHP).

[Ze AzAr]

heee MD5 est un HASH de cryptographie... donc un cryptage

sinon jamais penser a passer par du SHA-512 pour crypter mes MDP... je vais peux être y penser

[thebarbarius]

Ma question de depart été assez simple en fait.


Pour ceux qui ne l'ont pas compris je la répété encore une fois.
Idem quelque soit mes motivations, sa ne change pas ma question.

Donc la question :
Peut on protéger ses MPD sans passer par un hashage, cryptage, tout en gardant une securité équivalente ?


J'ai pas fait ce topic, pour faire un débat sur le hash MD5, mia sjuste qu'on me reponde a la question cité plus haut.

Je remercie les personne m'ayant répondu correctement, et qui m'ont aidé a avancer sur la question.

[grunk]

Peut on protéger ses MPD sans passer par un hashage, cryptage, tout en gardant une securité équivalente ?

Non

[sabotage]

donc un cryptage

En français on chiffre/déchiffre et décrypte mais on ne crypte pas.

mia sjuste qu'on me reponde a la question cité plus haut.

Si tu n'as pas de réponse c'est que ta question n'a pas vraiment de sens.
Les mots de passe dans la base de données sont soit stockés en clair soit chiffrés ;: il n'y a pas d'équivalence à cette situation.
Tu peux mettre ton serveur mysql dans un coffre fort au fond de l'ocean, ca sera une excellente sécurité mais ça ne sera pas équivalent à cacher les mots de passe dans le base.