[php] md5 / sha1

Je réponds un peu tard, mais je tombe dessus ^^
En fait il n'y a pas d'algorithme valable pour retrouver une chaine à partir de son hash (que ce soit md5 ou sha-1), ce qui existe sont sont des "reverse tables", c'est à dire des tables que l'on construit dans l'autre sens : on prend une chaîne de caractère au hasard, on calcule sont hash et on enregistre la chaine et son hash dans cette fameuse table. Et puis on recommence ....

En procédant ainsi, le jour l'on se trouve avec un hash sans en connaitre la chaine d'origine il suffit de lancer une recherche dans cette table, avec un peu de chance le hash est répertorié ...

Ceci fonctionne en général avec les mots de passe très courants (ceux pour lesquels on aura pris la peine de calculer leur hash en fait). Par exemple le hash de 'azerty' se trouve facilement avec ce système :
http://www1.gdataonline.com/?tm=1&kw=software+license+management&KW1=Password%20Management%20Tool&KW2=Software%20License%20Management&KW3=Cell%20Phone%20Unlock%20Service&KW4=Download%20from%20Secure%20Cloud%20File%20Storage&searchbox=0&domainname=0&backfill=0

'azerty' est même tellement courant que Google le connait bien :
https://www.google.fr/search?hl=fr&q=ab4f63f9ac65152575886860dde480a1&gws_rd=ssl

Celui de 'A9cf95DaCd22' en revanche se trouve beaucoup moins bien :
http://www1.gdataonline.com/?tm=1&kw=software+license+management&KW1=Password%20Management%20Tool&KW2=Software%20License%20Management&KW3=Cell%20Phone%20Unlock%20Service&KW4=Download%20from%20Secure%20Cloud%20File%20Storage&searchbox=0&domainname=0&backfill=0
https://www.google.fr/search?hl=fr&q=6fd3696a8a1358599fc7006a37e20e8f&gws_rd=ssl

bonsoir,
merci pour ta réponse
le site
http://www1.gdataonline.com/?tm=1&kw=software+license+management&KW1=Password%20Management%20Tool&KW2=Software%20License%20Management&KW3=Cell%20Phone%20Unlock%20Service&KW4=Download%20from%20Secure%20Cloud%20File%20Storage&searchbox=0&domainname=0&backfill=0
montre bien que le md5 est piratable
j'ai testé avec mes mot de passe que j'utilise
et ce site à trouvé mon mot de passe à partir du md5
alors le sha1 est-il piratable aussi ?

oui, sha-1, sha-256 ou même sha-512.
Ce qui fait la faiblesse de cette méthode de "crackage" c'est les ressources matérielles qu'elle demande.

Admettons qu'on veuille construire une version "faisable" d'une telle table (i.e. où chaque hash apparait une unique fois dans la table, sans quoi elle serait infinie), déjà rien que pour stocker tous les hashs md5 il faut 2^128 = 3.40282367.10^38 bits.

Pour en arriver là il va déjà falloir en acheter des disques durs ^^
Et pourtant on ne compte encore pas l'espace-disque qu'il nous faut pour enregistrer les chaînes associées aux hashs.

Et puis en combien de temps arriverait-on a une table "complète" ? Même en faisant un milliard de calculs de hashs par seconde, il nous faut ((2^128) / 1 000 000 000) / 31 556 926 = 1.07831278.10^22 années ! Tout ça pour une table qui n'associe une chaîne à un hash alors qu'il en existe une infinité, ça vaut pas le coup :-P

C'est pourquoi les tables qui existent sont très limitées, des chaînes simples comme "azerty", "iloveyou" s'y trouvent, mais pour "décoder" le hash de "£f6M!a0eDb!=}60", on n'a pas encore fini ;-)
D'où -encore une fois- l'intérêt de choisir des mots de passe compliqués.

oui mais moi qui pensé que mon mot de passe été compliqué, le site la trouvé
il y a 6 lettres et 2 chiffre