Protection efficace d'un mot de passe - Webmastering
Fermé
Clement
-
4 oct. 2013 à 14:25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 oct. 2013 à 15:35
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 oct. 2013 à 15:35
A voir également:
- Protection efficace d'un mot de passe - Webmastering
- Voir mot de passe wifi android - Guide
- Mot de passe administrateur - Guide
- Identifiant et mot de passe - Guide
- Mettre un mot de passe sur un dossier - Guide
- Trousseau mot de passe iphone - Guide
2 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
Modifié par Malekal_morte- le 4/10/2013 à 14:33
Modifié par Malekal_morte- le 4/10/2013 à 14:33
Salut,
Le hash des mots de passe n'a rien à voir avec le bruteforce, du moins pour les bruteforces sur les forms.
Si le gars a un mot de passe facile, hasher ou pas dans la base de données, ça changera rien .
C'est interressant seulement si un dump de la base a pu être fait ou si un fichier de conf a pu être lu (style LFI).
Pour la récupération du mot de passe, faut taper sur sha1256 avec un salt - et oui tu seras tranquille.
Pour les Injections SQL : https://www.malekal.com/sql-injection-sqli-quelques-commentaires/
Faut bien filtrer les parametres aussi.
Pour les RFI : https://www.malekal.com/attaques-rfi-remote-file-include-sur-wordpress/
Et du côté du serveur WEB - le mieux c'est de mettre modsecurity avec de bonnes regles, c'est pas mal : https://www.malekal.com/presentation-modsecurity-pour-apache/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Le hash des mots de passe n'a rien à voir avec le bruteforce, du moins pour les bruteforces sur les forms.
Si le gars a un mot de passe facile, hasher ou pas dans la base de données, ça changera rien .
C'est interressant seulement si un dump de la base a pu être fait ou si un fichier de conf a pu être lu (style LFI).
Pour la récupération du mot de passe, faut taper sur sha1256 avec un salt - et oui tu seras tranquille.
Pour les Injections SQL : https://www.malekal.com/sql-injection-sqli-quelques-commentaires/
Faut bien filtrer les parametres aussi.
Pour les RFI : https://www.malekal.com/attaques-rfi-remote-file-include-sur-wordpress/
Et du côté du serveur WEB - le mieux c'est de mettre modsecurity avec de bonnes regles, c'est pas mal : https://www.malekal.com/presentation-modsecurity-pour-apache/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Merci Malekal ! J'vais potasser tout ce que tu viens de me partager avec serieux.
J'viens de m'entretenir avec le responsable de la sécurité informatique de mon département, voici les conseils qu'il m'a donné :
- Utiliser protocole HTTPS
- Verifier les valeurs de $ID_SESSION lors de l'identification et post indentification
- Limiter les bruteforce avec time_out() (sur nb d'essais)
Autrement dit, j'ai de la lécture pour la semaine ! :)
Encore merci
J'viens de m'entretenir avec le responsable de la sécurité informatique de mon département, voici les conseils qu'il m'a donné :
- Utiliser protocole HTTPS
- Verifier les valeurs de $ID_SESSION lors de l'identification et post indentification
- Limiter les bruteforce avec time_out() (sur nb d'essais)
Autrement dit, j'ai de la lécture pour la semaine ! :)
Encore merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
Modifié par Malekal_morte- le 4/10/2013 à 15:35
Modifié par Malekal_morte- le 4/10/2013 à 15:35
pas de prb :)
faut surtout que tu filtres bien les variables $_GET et $_POST - ça évite les SQLi et les LFI.
Si tu veux des exemples du pourquoi, demandes, mais y en a plein de google :)
faut surtout que tu filtres bien les variables $_GET et $_POST - ça évite les SQLi et les LFI.
Si tu veux des exemples du pourquoi, demandes, mais y en a plein de google :)