Discussion :

[sam01]

Bonjour à tous,

je me demande comment gérer les mot de passe de mon site.

Pour plus de sécurité, il faudrait que les crypte en MD5, mais le souci c'est que si un membre perd son mot de passe, je ne pourrait le lui fournir, il sera obligé d'en prendre un autre...

De plus, le MD5 empêcherait d'éventuels pirates de récupérer les mot de passes...

Quel est votre avis la dessus ?

[JeitEmgie]

Pour être précis :
MD5 et SHA sont des algorithmes de hashage pas de cryptage,
comment vous le dites vous-même un mot de passe perdu impose la génération d'un nouveau :
on ne peut retrouver le mot de passe original à partir du hash…

Si vous voulez éviter cela, il faut réellement encrypter le mot de passe avec un vrai algorithme de cryptage…
ce qui impose le stockage de la clé de cryptage quelque part…
clé qui sera aussi celle de décryptage si vous choisissez un algorithme symétrique…
ou il y aura une autre clé pour le décryptage si vous choisissez un algorithme asymétrique…

Finalement, tout dépend du degré de confidentialité associé aux données de l'utilisateur protégée par son propre mot de passe…
et du contexte d'utilisation du site…

Par exemple en e-commerce, beaucoup de commerçants n'aime pas les systèmes qui imposent la génération d'un nouveau mot de passe lorsque le client le perd : ils prétendent que cela impose un cycle trop lent dans l'acte d'achat et donc que cela augmente le risque de perdre la vente… d'autant plus que par les temps qui courent, l'envoi de ce genre de mails "types" par de petites et moyennes structures est de plus en plus difficile à réaliser proprement sans qu'ils ne soient un jour ou l'autre classifiés de "spam" par les grands domaines (yahoo, msn, gmail, free, …)

PS
et le mot de passe voyagera en clair entre le poste client et le serveur si vous n'êtes pas en HTTPS…

[homeostasie]

Pour être précis :
MD5 et SHA sont des algorithmes de hashage pas de cryptage,

Et en bon français, on dit chiffrement et déchiffrement! ;-)

[JeitEmgie]

Et en bon français, on dit chiffrement et déchiffrement! ;-)

cryptage [kʀiptaʒ] nom masculin
étym. 1981 ◊ de crypter
❖

■ Opération par laquelle un message est rendu inintelligible à quiconque ne possède pas la clé permettant de retrouver la forme initiale. ➙ chiffrage, chiffrement. Algorithme, clé, logiciel de cryptage.

extrait du Robert…

[spawntux]

Bonjour,

Non il a raison c'est chiffrement et déchiffrement (académie française qui l'as dit).

Et si tu dit cryptage ou crypter devant un expert secu en france tu vas te prendre une remontrance (faut être pointilleux).

Concernant la question initial, le dilemme est simple :

- Site ecommerce, webmail tout site qui contient des données sensibles, coup de sha512 + salt. C'est à dire ce que j'entends par données sensibles c'est, données financières, infos personnelles et professionnels. A partir de la la question ne se pose pas la securité des usagers et de leurs données est bien plus important que leur pass préconçu (pour ce genre de site j'ai meme tendance à leur générer moi même le mot de pass.

Un BF sur un md5 sur un pass de 14 char 1fcd524aacadba5c89b360378756a857:fdzxcvfndfgfff
ont a mis 4 heures pour le peter tu as ta réponse je pense.

- Site standard juste pour des abonnements gratuit a de simple flux rss au final je mettrais du chiffré aussi.

En conclusion chiffrement (sha512 +salt) ca me semble correcte

Bien cordialement

[Immobilis]

Salut,

Je prend le sujet au vol. Il y a un très bon tuto à ce sujet: http://webman.developpez.com/article.../aes-rijndael/

Par contre, les données sont chiffrées avec des caractères qui passent mal dans l'URL. Il y a plusieurs méthodes qui permettent d'échapper ces caractères, mais c'est pas super. Connaissez-vous des algorithmes de chiffrement qui ne donnent que des chiffres ou des lettres?

Merci

[JeitEmgie]

Bonjour,

Non il a raison c'est chiffrement et déchiffrement (académie française qui l'as dit).

on va polémiquer des heures sur le français : mais "cryptage" est maintenant repris dans le dictionnaire depuis quelques années déjà… et ne peut donc plus être considéré comme incorrect… (pas comme l'orthographe de la plupart ici…)

quant à vos habitudes franco-françaises : ce que j'en pense est plus certainement dans le dictionnaire de Bruant que dans celui de l'Académie…

Pour revenir à MD5 et SHA : c'est du hachage pas du cryptage…
donc suggérer de "hacher" les données sensibles… c'est de la grande "farfeluterie"… (çà non plus ce n'est pas dans le dictionnaire…)

et les 2 fonctions - dans leur implémentation en SGBD ou dans les langages habituels du Web - génèrent des chaînes de caractères représentant des nombres en hexadécimal donc [0-9A-F], qui ne posent aucun problème dans les URLs

pour le reste voir le premier post…

[Immobilis]

Arf, oui, MD5 et SHA1, par contre il faudrait pouvoir aussi le déchiffrer. Donc le hachage ne convient pas.

[spawntux]

Pour revenir à MD5 et SHA : c'est du hachage pas du cryptage…
donc suggérer de "hacher" les données sensibles… c'est de la grande "farfeluterie"… (çà non plus ce n'est pas dans le dictionnaire…)

Je n'ai jamais du que MD5 c'etait un algo de chiffrement Effectivement j'ai parler de chiffrement dans la notion salt + algo de hash c'est une erreur de ma part.
Ensuite je n'ai pas parlé de hasher des données sensibles mais de hasher bien comme il faut les pass des sites contenant les données sensibles, il ne faut pas tout confondre.

Ensuite pour le reste du contenu de la BDD ce n'etait pas la question du post.

Bien cordialement

[Immobilis]

Ensuite je n'ai pas parlé de hasher des données sensibles mais de hasher bien comme il faut les pass des sites contenant les données sensibles, il ne faut pas tout confondre.

Ensuite pour le reste du contenu de la BDD ce n'etait pas la question du post.

Bien cordialement

Et donc? La question est: comment crypter les données sensibles ou bien comment les hasher? On a supposé que tu voulais pouvoir les décrypter/déchiffrer. C'est le cas? Si oui, il faut que tu regardes du côté des algorithmes symétriques (ex le lien vers le tuto).

je me demande comment gérer les mot de passe de mon site.

Il faut obliger les internaute à saisir un mot de passe fort: 8 caractères au moins, composé de lettres, de chiffres (au moins 1) et de caractères spéciaux (au moins 1). Sinon, les générer aléatoirement. A l'insertion en base tu les "hash". Si le mot de passe est perdu tu en regénères un provisoire et au prochain login de l'internaute, tu l'obliges à en saisir un de nouveau.

De plus, le MD5 empêcherait d'éventuels pirates de récupérer les mot de passes...

Si tu "hash" tu ne peux pas convertir mais juste vérifier. C'est ce qui se passe quand on veut casser une chaine "hashée". Il faut faire une attaque type dictionnaire. On teste tous les mots jusqu'à retrouver le hashage. Pour preuve, certains sites en ligne ( decrypt + MD5) te proposent de retrouver la chaine d'origine à partir du "hash". Ceux-ci on des bases de données qui contiennent les "hashages" de millions de combinaisons de mots. Il suffit de faire ensuite:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM TABLE_DE_HASHAGE WHERE HASH = '70902075a2568ba632bd274479828be7'

A+