Hash md5
Résolu/Fermé
Chamicki
Messages postés
525
Date d'inscription
jeudi 11 juin 2009
Statut
Membre
Dernière intervention
20 juillet 2012
-
17 juin 2009 à 12:20
Chamicki Messages postés 525 Date d'inscription jeudi 11 juin 2009 Statut Membre Dernière intervention 20 juillet 2012 - 17 juin 2009 à 16:26
Chamicki Messages postés 525 Date d'inscription jeudi 11 juin 2009 Statut Membre Dernière intervention 20 juillet 2012 - 17 juin 2009 à 16:26
A voir également:
- Hash md5
- Md5 checksum - Télécharger - Web & Internet
- Md5 file - Télécharger - Gestion de fichiers
- Bcrypt hash introuvable ✓ - Forum Windows
- Md5 download - Télécharger - Gestion de fichiers
- Décrypter un mot de passe md5 php ✓ - Forum PHP
4 réponses
pyschopathe
Messages postés
1973
Date d'inscription
dimanche 2 mars 2008
Statut
Membre
Dernière intervention
22 mars 2010
135
17 juin 2009 à 12:39
17 juin 2009 à 12:39
md5 est une fonction irréversible. Les site qui "font la conversion" font en fait une attaque par dictionnaire : ils possèdent une liste pré calculée de mots (au sens large) avec les hash correspondant et comparent ton hash à leur liste.
Si la valeur que tu hash n'est pas triviale, il devient très difficile de la retrouver puisque les dictionnaires ne contiennent pas toutes les valeurs possibles.
Une bonne pratique consiste à générer une chaîne aléatoire appelée sel ou salt (que tu stockeras aussi en base) et de calculer md5( "$password$string" ) au lieu de md5($password).
Si la valeur que tu hash n'est pas triviale, il devient très difficile de la retrouver puisque les dictionnaires ne contiennent pas toutes les valeurs possibles.
Une bonne pratique consiste à générer une chaîne aléatoire appelée sel ou salt (que tu stockeras aussi en base) et de calculer md5( "$password$string" ) au lieu de md5($password).
Dackxes
Messages postés
274
Date d'inscription
mardi 27 janvier 2009
Statut
Membre
Dernière intervention
17 avril 2010
35
17 juin 2009 à 15:34
17 juin 2009 à 15:34
Je crois que le meilleur moyen est un cryptage en Php qu 'on utilise pour les .htaccess.
Voir : https://openclassrooms.com/fr/courses/918836-concevez-votre-site-web-avec-php-et-mysql/918580-protegez-un-dossier-avec-un-htaccess#ss_part_2
Voir : https://openclassrooms.com/fr/courses/918836-concevez-votre-site-web-avec-php-et-mysql/918580-protegez-un-dossier-avec-un-htaccess#ss_part_2
Chamicki
Messages postés
525
Date d'inscription
jeudi 11 juin 2009
Statut
Membre
Dernière intervention
20 juillet 2012
73
17 juin 2009 à 15:45
17 juin 2009 à 15:45
C'est indéchiffrable la méthode crypt de php ?
pyschopathe
Messages postés
1973
Date d'inscription
dimanche 2 mars 2008
Statut
Membre
Dernière intervention
22 mars 2010
135
17 juin 2009 à 16:22
17 juin 2009 à 16:22
crypt peut utiliser différents algorithmes, entre autres md5... Il faut savoir qu'aucun chiffrement n'est indéchiffrable : avec suffisamment de temps et de puissance de calcul, tout se casse. Mais dans le cas d'une application classique (pas de secret défense ou informations dans ce genre là), personne n'aura envie de passer 6 mois à faire tourner un cluster de mainframes pour casser un mot de passe. Il faut garder une échelle de mesures de sécurité cohérente avec ton application.
De plus, sécuriser les mots de passe en base n'est important que si ta base de données est compromise. Sans ça, il n'y a aucun intérêt.
Il faut être conscient que la sécurité globale de ton application correspond à la sécurité du maillon le plus faible. pense donc à protéger tes sessions, à n'autoriser les connexions que via un canal sécurisé, à protéger tes scripts des XSS et des injections sql, c'est bien plus important que trouver un algorithme de chiffrement inviolable pour stocker des mots de passe.
De plus, sécuriser les mots de passe en base n'est important que si ta base de données est compromise. Sans ça, il n'y a aucun intérêt.
Il faut être conscient que la sécurité globale de ton application correspond à la sécurité du maillon le plus faible. pense donc à protéger tes sessions, à n'autoriser les connexions que via un canal sécurisé, à protéger tes scripts des XSS et des injections sql, c'est bien plus important que trouver un algorithme de chiffrement inviolable pour stocker des mots de passe.
Chamicki
Messages postés
525
Date d'inscription
jeudi 11 juin 2009
Statut
Membre
Dernière intervention
20 juillet 2012
73
17 juin 2009 à 16:26
17 juin 2009 à 16:26
Ok merci, non c'est juste pour protéger une zone admin mais c'étais plus une question d'ordre générale pour savoir...
17 juin 2009 à 13:38
tu peux utiliser SHA-256, plus sûr mais la technique du grain de sel est efficace également.
17 juin 2009 à 15:26