Hash mot de passe SQL Server 2012
Bonjour,
Voici mon environnement de développement: application winforms + une base de données SQL Server 2012 + c# + framework .net 4.5
Les mots de passe dans la base sont actuellement en clair dans la table user. Je voudrais :
- Mettre en place un système de cryptage afin de ne pas les stocker en clair dans la base
- Mettre en place le décryptage lors de la vérification des paramètres d’un user devant s’authentifier.
En faisant mes recherches, je suis tombé sur http://crackstation.net/hashing-security.htm (traitant de l’utilisation de "Salted Password Hashing") mais aussi ceci http://weblogs.asp.net/wim/archive/2...05/417920.aspx utilisant le MD5 or SHA1 hashing via System.Web.Security bien qu'en étant en winforms.
Je ne suis pas du tout expert dans le cryptage, hash et consorts. Alors quelle méthode me conseillez-vous d’utiliser ?
En outre, question bête :mrgreen: peut-être , de quel type doit-être le champ devant contenir le hash du mot de passe? Merci.
Salt connu : quel intérêt ?
Bonjour,
Question "idiote" : je ne vois pas l'intéret du salt s'il est connu ?
Autrement dit, je ne vois pas en quoi
Code:
hash("hello" + "QxLUF1bgIAdeQX")
est plus sûr que :
dès lors que "QxLUF1bgIAdeQX" est stocké en clair dans la base dans une colonne exprès pour lui ? Question sécurité, quelle est la valeur ajoutée du salt dans ce cas ?
Je passe à coté de quelque chose ?
Merci d'éclairer ma lanterne ;)
Au cas où, si la discussion ci-dessus ne permet pas à elle seule de comprendre ma question, cf article : https://crackstation.net/hashing-security.htm