login password et MD5: oui mais pourquoi ?

[webmasterdemonsite]

bonjour

dans le cadre d'une identification de login ou les mot de passes sont stockés dans la base de donnée:

pourquoi faut il crypter (hacher) les mots de passe en MD5 (ou autres)...je ne vois pas du tout l'intérêt si je suis le seul à pouvoir voir en clair les mot de passe des internautes de ma base de donnée

avez vous un avis sur le sujet?
merci

bon week end

[DadouDuck]

C'est un problème de sécurité, tu dis être le seul à voir les mdp, mais es tu sûr de la sécurité de tous les scripts que tu utilises?? si un de ceux-ci à une faille qui permette d'accéder à la base, le hackeur aura accès aux mots de passe lui aussi si ils sont en clair, mais si ils sont en hachés (md5) ils ne lui seront d'aucune utilité

[hyadex]

si ils sont en hachés (md5) ils ne lui seront d'aucune utilité

Faux il est très simple de trouver des sites qui permettent de décrypter des MD5. Si on connait le cryptage, on connait forcément la manière de décrypter.
exemple : -http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/decrypter-dechiffrer-cracker-hash-md5.php

[Booble]

Si on connait le cryptage, on connait forcément la manière de décrypter.

Pas exactement : pas de décryptage possible, mais seulement la possibilité de vérifier si la traduction du hash md5 en question correspond à une traduction dans les dictionnaires md5 existants. En clair (sans mauvais jeu de mot), si le mot de passe est bateau, il a de grandes chances d'être connu, par contre s'il s'agit d'un mdp long et complexe (caractères spéciaux, chiffres, majuscules ...) je pense q'il n'y a aucun moyen de décrypter à la vollée, ou même en étant très patient

Pour la petite histoire, je crois que c'est une obligation légale de ne pas archiver les mots de passe de vos utilisateurs en clair dans les bdd des sites. Pourtant, vous verrez que même de "gros" sites proposent de vous renvoyer par mail "votre" mot de passe en clair si vous l'avez oublié : il ne le pourraient pas si le mot de passe était archivé en md5 ! Lorsque les mdp sont en md5 la seule possibilité, est de générer un nouveau mot de passe aléatoire, et de l'envoyer au visiteur en l'invitant à le changer pour ... s'en souvenir cette fois. Bref, tous les sites qui se souviennent clairement de votre mdp sont hors la loi.

[bruno212]

si ils sont en hachés (md5) ils ne lui seront d'aucune utilité

Faux il est très simple de trouver des sites qui permettent de décrypter des MD5. Si on connait le cryptage, on connait forcément la manière de décrypter.
exemple : -http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/decrypter-dechiffrer-cracker-hash-md5.php

Oui, c'est très simple si on choisit un mot de passe qui est dans le dictionnaire ou qui est simple à deviner.

Sinon, c'est très difficile.

Raison pour laquelle il ne faut pas choisir des mots de passe trop simple.

Ce système permet d'identifier:

Code: Tout sélectionner

pilote
Pilote
PilOte
pilote77

mais pas

Code: Tout sélectionner

pil0te (avec zéro à la place du O)
2pil4lote

et encore moins

Code: Tout sélectionner

t5jzd9

Quant à la question de l'auteur de ce post, garder les mots de passe ne clair sur son serveur est irresponsable, et comme les utilisateur le sont tout autant et qu'ils utilisent les mêmes mots de passe partout, quelqu'un qui hackerait le serveur obtiendrait les données "adresse email + mot de passe" et pourrait s'amuser un peu avec tout ça.

à plus

[webmasterdemonsite]

bonjour

merci pour vos réponses, je comprends mieux...

donc finalement le mieux c'est de faire soit même un algorythme de cryptage simple genre XOR , non?

bonne journée

[Booble]

http://fr.php.net/md5

[webmasterdemonsite]

:arrow: http://fr.php.net/md5

md5 n'est pas interessant, car il y a des failles, je vais faire un petit algo de cryptage simple...peut être couplé avec md5...

[bruno212]

:arrow: http://fr.php.net/md5

md5 n'est pas interessant, car il y a des failles, je vais faire un petit algo de cryptage simple...peut être couplé avec md5...

Quand tu auras fini de programmer ton petit algo simple et sans faille, n'oublie d'écrire un doctorat en math.

[guicara]

Il suffit d'utiliser la technique du "grain de sable" couplé avec md5, et il n'y a plus aucun problème

[webmasterdemonsite]

:arrow: http://fr.php.net/md5

md5 n'est pas interessant, car il y a des failles, je vais faire un petit algo de cryptage simple...peut être couplé avec md5...

Quand tu auras fini de programmer ton petit algo simple et sans faille, n'oublie d'écrire un doctorat en math.

pas besoin d'un doctorat en math...pff...

[webmasterdemonsite]

Il suffit d'utiliser la technique du "grain de sable" couplé avec md5, et il n'y a plus aucun problème

merci

[guicara]

Cette technique empêche l'utilisation d'un dictionnaire pour décrypter une chaine MD5.
J'aurais plutôt du parler de "grain de sel", mais bon peut importe... la technique reviens à faire :

Code: Tout sélectionner

md5($graindesel . $password);

Une lecture intéressante :
-http://info.crypto.free.fr/graindesel.php

[Booble]

Une lecture intéressante :
-http://info.crypto.free.fr/graindesel.php

+1

Page effectivement pratique pour comprendre le rôle d'un grain de sel
C'est vrai que c'est "la" parade contre les dictionnaires ! (mais pas une raison pour des mdp trop simples )

[DadouDuck]

J'utilise les fonctions mcrypt de php, avec l'algo de cryptage blowfish : http://www.chilkatsoft.com/p/php_blowfish.asp