secruiser ses mot de passe

Version imprimable

12/05/2012, 20h40
Royade

secruiser ses mot de passe
Bonsoir tout le monde!

Je me pose quelques petites question sur la façon de sécuriser les mots de passe rentrer par l'utilisateur! Quel fonction de hachage faut il utiliser ?
md5, Sha1 ,Bcrypt ou PBKDF2 ?

ha1() couplé avec un ou deux grains de sels ?
Code:

1 2 <?php $mot_de_passe_hashe = sha1('Gr@1n2s3l1' . md5($mot_de_passe_en_clair) . 'gRaIn2$eL2');
Faut il que c'est grains de sel soient aléatoire ? lié par exemple au pseudo de l'utilisateur ?
Code:

1 2 <?php $mot_de_passe_hashe = sha1('$pseudo_user' . md5($mot_de_passe_en_clair) );
Faut il qu'un grain de sel ? deux? plus on en met plus les données sont sécurisées? peut on alors en mettre plus de deux ? Faut il que les grains de sel comportent des caractères speciaux ? faut il une longueur adequat ou plus le grain est long avec des caractères biscornu mieux c est?

a quoi correspond Bcrypt et PBKDF2 ?

Merci d'avance pour éclairer ma petite lanterne!
13/05/2012, 23h21
Invité

Bonsoir,

Le chiffrage du mot de passe avec sha1 (ou autre) et un « grain de sel » est amplement suffisant dans la plus part des cas. Le grain de sel peut être lié au nom d'utilisateur ou à une valeur aléatoire. C'est comme tu veux, mais le choix du nom d'utilisateur présente un avantage: il ne nécessite pas la création d'une colonne supplémentaire dans ta base de données. On dit que la solution la plus simple est toujours la meilleure. ;)

Il faut éviter d'implémenter des mécanismes complexes à ce niveau, l'essentiel étant de ne pas enregistrer les mots de passe « en clair » dans la base de données. Ce serait une grave négligence.

Il faut opter pour une stratégie globale. Commence par imposer à tes utilisateurs le choix d'un mot de passe fort et dans la mesure du possible unique. De cette manière si un pirate parvient à mettre la main sur ta base de données il aura beau réussir à « décrypter » les mots de passe de tes utilisateurs: il ne pourra pas les réutiliser ailleurs que sur ton site.

Bcrypt et PBKDF2 proposent des algorithmes de hachage plus évolués que md5 ou sha1. Ils sont plus solides mais plus difficiles à implémenter et à utiliser. C'est à toi de déterminer si ton projet requiert les grands moyens. Sans sombrer dans la « paranoïa sécuritaire » :aie:
14/05/2012, 00h33
Royade

Merci pour toutes ces précisions =)