[php] md5 / sha1

Résolu/Fermé
28_seb Messages postés 84 Date d'inscription dimanche 22 octobre 2006 Statut Membre Dernière intervention 31 mai 2010 - 25 mai 2007 à 08:52
 el_niño - 27 mai 2010 à 09:39
Bonjour,

Je me pose une question sur le hashage,
Est-ce que md5 est sur ou c'est mieux d'utiliser sha1 ?
Si on récupère une ligne codée en md5 ou sha1 peut-on retouver le mot qu'il a hashagé?

Merci pour vos réponses

3 réponses

irem Messages postés 164 Date d'inscription mardi 22 mai 2007 Statut Membre Dernière intervention 9 octobre 2012 99
25 mai 2007 à 08:58
sincèrement l'un comme l'autre sont plutôt fiable, le principe même des algorithme de hashage étant bien entendu qu'a partir du hash il soit très complexe de retrouver la valeur initiale.

D'un point de vue purement théorique sha-1 est supérieur à MD5, maintenant l'un comme l'autre peuvent être considérés comme globalement fiable (sauf si vous faites une application très sensible, dans ce cas privilégier SHA).

Il faut tout de meme savoir que pour le MD5, des services comme http://www1.gdataonline.com/?tm=1&kw=software+license+management&KW1=Password%20Management%20Tool&KW2=Software%20License%20Management&KW3=Cell%20Phone%20Unlock%20Service&KW4=Download%20from%20Secure%20Cloud%20File%20Storage&searchbox=0&domainname=0&backfill=0 existent...

Irem
1
fanfantasy7 Messages postés 38 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 14 avril 2012 4
15 juin 2008 à 20:26
je suis surpris par ton lien
le md5 n'est pas du tout sécurisé ???
0
Yoan Messages postés 11760 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 8 août 2019 2 354 > fanfantasy7 Messages postés 38 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 14 avril 2012
31 déc. 2008 à 15:03
Je réponds un peu tard, mais je tombe dessus ^^
En fait il n'y a pas d'algorithme valable pour retrouver une chaine à partir de son hash (que ce soit md5 ou sha-1), ce qui existe sont sont des "reverse tables", c'est à dire des tables que l'on construit dans l'autre sens : on prend une chaîne de caractère au hasard, on calcule sont hash et on enregistre la chaine et son hash dans cette fameuse table. Et puis on recommence ....

En procédant ainsi, le jour l'on se trouve avec un hash sans en connaitre la chaine d'origine il suffit de lancer une recherche dans cette table, avec un peu de chance le hash est répertorié ...

Ceci fonctionne en général avec les mots de passe très courants (ceux pour lesquels on aura pris la peine de calculer leur hash en fait). Par exemple le hash de 'azerty' se trouve facilement avec ce système :
http://www1.gdataonline.com/?tm=1&kw=software+license+management&KW1=Password%20Management%20Tool&KW2=Software%20License%20Management&KW3=Cell%20Phone%20Unlock%20Service&KW4=Download%20from%20Secure%20Cloud%20File%20Storage&searchbox=0&domainname=0&backfill=0

'azerty' est même tellement courant que Google le connait bien :
https://www.google.fr/search?hl=fr&q=ab4f63f9ac65152575886860dde480a1&gws_rd=ssl

Celui de 'A9cf95DaCd22' en revanche se trouve beaucoup moins bien :
http://www1.gdataonline.com/?tm=1&kw=software+license+management&KW1=Password%20Management%20Tool&KW2=Software%20License%20Management&KW3=Cell%20Phone%20Unlock%20Service&KW4=Download%20from%20Secure%20Cloud%20File%20Storage&searchbox=0&domainname=0&backfill=0
https://www.google.fr/search?hl=fr&q=6fd3696a8a1358599fc7006a37e20e8f&gws_rd=ssl
0
fanfantasy7 Messages postés 38 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 14 avril 2012 4 > Yoan Messages postés 11760 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 8 août 2019
1 janv. 2009 à 21:41
bonsoir,
merci pour ta réponse
le site
http://www1.gdataonline.com/?tm=1&kw=software+license+management&KW1=Password%20Management%20Tool&KW2=Software%20License%20Management&KW3=Cell%20Phone%20Unlock%20Service&KW4=Download%20from%20Secure%20Cloud%20File%20Storage&searchbox=0&domainname=0&backfill=0
montre bien que le md5 est piratable
j'ai testé avec mes mot de passe que j'utilise
et ce site à trouvé mon mot de passe à partir du md5
alors le sha1 est-il piratable aussi ?
0
Yoan Messages postés 11760 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 8 août 2019 2 354 > fanfantasy7 Messages postés 38 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 14 avril 2012
1 janv. 2009 à 23:29
oui, sha-1, sha-256 ou même sha-512.
Ce qui fait la faiblesse de cette méthode de "crackage" c'est les ressources matérielles qu'elle demande.

Admettons qu'on veuille construire une version "faisable" d'une telle table (i.e. où chaque hash apparait une unique fois dans la table, sans quoi elle serait infinie), déjà rien que pour stocker tous les hashs md5 il faut 2^128 = 3.40282367.10^38 bits.

Pour en arriver là il va déjà falloir en acheter des disques durs ^^
Et pourtant on ne compte encore pas l'espace-disque qu'il nous faut pour enregistrer les chaînes associées aux hashs.

Et puis en combien de temps arriverait-on a une table "complète" ? Même en faisant un milliard de calculs de hashs par seconde, il nous faut ((2^128) / 1 000 000 000) / 31 556 926 = 1.07831278.10^22 années ! Tout ça pour une table qui n'associe une chaîne à un hash alors qu'il en existe une infinité, ça vaut pas le coup :-P

C'est pourquoi les tables qui existent sont très limitées, des chaînes simples comme "azerty", "iloveyou" s'y trouvent, mais pour "décoder" le hash de "£f6M!a0eDb!=}60", on n'a pas encore fini ;-)
D'où -encore une fois- l'intérêt de choisir des mots de passe compliqués.
0
fanfantasy7 Messages postés 38 Date d'inscription mercredi 13 février 2008 Statut Membre Dernière intervention 14 avril 2012 4 > Yoan Messages postés 11760 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 8 août 2019
2 janv. 2009 à 11:01
oui mais moi qui pensé que mon mot de passe été compliqué, le site la trouvé
il y a 6 lettres et 2 chiffre
0
28_seb Messages postés 84 Date d'inscription dimanche 22 octobre 2006 Statut Membre Dernière intervention 31 mai 2010 11
25 mai 2007 à 09:10
merci pour ses précision
0
Bonjour,
Vous semblez tous dire que le SHA1 est globalement plus fiable que le MD5.
Mais que peut on dire au niveau de la vitesse d'execution de ces deux algos???

Merci
0