Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
Bonjour à tous. Je voudrais juste avoir vos opinions à propos de vos manières de stocker des mots de passe dans une base.
Es-que le md5() de php est assez sécurisé?
Y'a t-il d'autres alternatives simples et/ou rapide à mettre en place?
En fait, j'utilise en fait une base OSCommerce (kesako?) et la manière de stocker les pass est assez bizarre car un mot de passe encrypté 2 fois de suite ne donne pas la même chose (c'est bien sécurisé mais quand je veux comparer mon mot de passe saisi avec celui dans la base en passant par Zend_Auth_Adapter_DbTable... j'peux me brosser pour que ça marche!)...
Je pensais changer la fonction de comparaison et d'encryptage (c'est l'histoire de quelque ligne avec un remix maison de md5()).
Que pensez vous de tout cela?
Dernière modification par Mr.MoOx (23-05-2007 10:33:24)
Hors ligne
Il a été démontré que md5 est cassable, et ce rapidement.
Je suggère l'utilisation de sha1(), ou toute autre fonction de cryptage issue de mcrypt, par exemple.
Hors ligne
Et pourquoi pas un petit sha256
http://www.php.net/manual/fr/function.hash.php
Voir aussi le commentaire : http://fr.php.net/manual/fr/function.sha1.php#70474
Hors ligne
Que pensez vous d'un combo maison?
Dans le genre de (par exemple) sha1(str_reverse(md5($password)));
Une fois (pour un site à mes tous débuts) j'avais pris un md5 que je coupai en 2 (comme un paquet de carte ) puis j'inversais le resultat. Ce genre de pratique réduit-t-elle encore plus les risques?
Hors ligne
Moué, ca dépend du projet ...
Si le temps que tu passes à coder ta fonction de codage est OK au niveau du cahier des charges et du planning du projet, pourquoi pas. Mais en général on évite de "perdre" du temps à créer quelque chose qui existe, question de rentabilité ;-)
Sauf si un besoin spécifique a été éxigé.
Hors ligne