Discussion :

[bedomon]

Bonjou tout le monde,

Voila je me pose une question sur le cryptage de mot de passe,

J'ai regarder ce topic Modifier les données d'un utilisateur avec inputPassword ou Michel Rotta montre un bout de code sur le cryptage des mots de passe. La question que je me pose est qu'il fait ca avec du md5 qui est plus du hash que du cryptage, donc un fois les données enregistrer en md5 est il possible de les récupérer en clair??? (décoder le md5??)

je sais pas pourquoi j'ai l'impression de poser une question un peu bête...

[sabotage]

Non : si on ne tient pas compte des vulnérabilités de MD5, on ne peut pas retrouver la chaine de départ.
Il est recommandé de ne plus utiliser MD5, à cause des ces vulnerabilités, et d'utiliser d'autres HASH comme SHA.

[bedomon]

Ok merci, je vais me renseigner de ce coté.

[bilbonec]

Et si tu veux utiliser sha1, si c'est le plugin sfGuardUser que tu utilises : il accepte aussi bien md5 que sha1.

[Michel Rotta]

Juste un point, qui ma semblé être au cœur de ta question et non traité.

Dans ma pratique de développeur, largement influencée par ma formation atypique qui est plutôt systèmes, réseaux et sécurité, un administrateur où un site n'a jamais à connaitre le mot de passe d'un utilisateur et ne doit pas avoir les moyens de le retrouver. Le mot de passe est une signature que l'administrateur ne doit pas pouvoir reproduire.

D'où mon utilisation systématique et préférentiel d'algorithme de hachage par rapport à d'éventuels algorithme de cryptage réversible.