Discussion :

[thebarbarius]

bonjour,

Je profite depuis quelque temps pour revoir mes méthodes de programmation.

Et parmi toutes les méthodes que j'utilise je me demande, s'il y a un vrai intérêt à crypter ses mots de passe stockés dans une BDD.

Certes le gain de temps est faible, mais quand on développe des dizaines de sites dans le mois, ça fait toujours ça.

Donc ma question : Ne pas crypter ses mot de passe en MD5, ouvre t'il de grosses failles de securité ?

Sinon comment en ne cryptant pas ses MDP, sécuriser ses scripts et sa BDD.

[Ze AzAr]

Moi je dirais que oui tu t'expose en mettant des mots de passe en claire...

par contre je ne comprends pas trop comment le cryptage MD5 te fais perdre du temps en dev...

Sinon déjà pour bien sécuriser ses script un beau htaccess avec un "DENY ALL" dedans pour être sur que Apache bloque définitivement l'accès aux scripts...
pour ce qui est de la bdd, mettre le script sur une zone non accessible par apache mais par php...

Donc par exemple en dehors de ton dossier 'www' et en mettant en dur le chemin complet de ton script comportant les info de connection à la BDD...

[sabotage]

Petite précision MD5 n'est pas un chiffrement (cryptage) mais une methode d'empreinte (hash).

Comme le dit Ze azar, utiliser MD5 c'est ajouter deux mots dans ton code, il n'y a pas de temps de developpement.
C'est justement une securité certes basique mais extremement simple à mettre en place.

[thebarbarius]

Merci.

Je repete ma question.


Existe t'il un moyen de protéger ses mdp aussi efficacement que le hash MD5 ?

[sabotage]

Qu'est ce qui ne te convient pas avec MD5 ?
Il existe tout plein d'algorithmes pour faire des empreintes :
http://www.php.net/manual/fr/function.hash-algos.php

[thebarbarius]

Comme precisé sur mon premier post, je souhaieterai eviter le hash.

Mais tout en sécurisant mon code.


Donc savoir si on peut securiser ses MPD sans passer par MD5.