Discussion :

[KalKul]

Bonjour à tous,

je ne sais pas si je suis dans le bon forum mais c'est ce qui me parait le plus approprié.
Dans le cas de SSHA (algorithme de cryptage) : normalement la génération d'une empreinte est différente pour une même valeur en entrée avec cette technique. Du coup je voulais savoir comment on faisait pour vérifier que le mot de passe d'une personne (par exemple) était bon puisque, si on le passe par SSHA on n'a pas la même empreinte... Y a-t-il une clef qui permet de retrouver le mot de passe de départ ?

Merci d'avance.

Bode

[pseudocode]

Dans le cas de SSHA (algorithme de cryptage) : normalement la génération d'une empreinte est différente pour une même valeur en entrée avec cette technique.

??? Heu non... meme password + meme seed => meme hash

Du coup je voulais savoir comment on faisait pour vérifier que le mot de passe d'une personne (par exemple) était bon puisque, si on le passe par SSHA on n'a pas la même empreinte...

Généralement on fait un challenge:
- Serveur: genere une seed aléatoire et l'envoie au client.
- Client: genere le hash pour (password+seed reçu) et l'envoie au serveur.
- Serveur: genere le hash pour (password+seed envoyé) et compare avec le hash reçu

Y a-t-il une clef qui permet de retrouver le mot de passe de départ ?

Il faut esperer que non . (sauf cryptanalyse ou brute-force)

[KalKul]

impeccable, ça m'éclaire déjà beaucoup.
En fait je suis en train de regarder comment ldap fonctionne et il y a la possibilité de crypter les mots de passe grâce à SSHA. Sauf que lorsque j'utilise slappasswd pour en générer un il me donne des empreintes différentes à chaque fois ! Ben oui lais je ne connaissais pas. Et la, question...mais que se passe-t-il alors derrière pour que ça marche ça...?

Bon maintenant j'ai une partie de ma réponse.

Merci encore.

[pseudocode]

impeccable, ça m'éclaire déjà beaucoup.
En fait je suis en train de regarder comment ldap fonctionne et il y a la possibilité de crypter les mots de passe grâce à SSHA. Sauf que lorsque j'utilise slappasswd pour en générer un il me donne des empreintes différentes à chaque fois ! Ben oui lais je ne connaissais pas. Et la, question...mais que se passe-t-il alors derrière pour que ça marche ça...?

il y a des chances pour que ton empreinte ait une taille de 24 octets. Auquel cas les 20 premiers octets devraient être le hash et les 4 derniers la seed.

[Mathieu59]

Bonjour,

Désolé de déterrer un vieux sujet mais voilà les données de mon problème :
- dans OpenLDAP, le mot de passe est stocké en SSHA
- je souhaite faire circuler mon mot de passe de façon sécurisée, en l'envoyant encrypté également en SSHA depuis un client webmail par exemple

Mes questions :
- comment LDAP fait pour vérifier la validité du mot de passe compte-tenu du fait que la seed générée par le client est différente ?
- est-il judicieux d'utiliser ce mode de fonctionnement ?

Merci d'avance.

[seeme]

Bonjour,

Pour répondre rapidement à tes questions..

Ce n'est pas le client qui choisis la seed, mais le serveur (challenge). Donc pas de problème.

Cette méthode est tout à fait valable pour sécuriser les communications.