Zend FR

Consultez la FAQ sur le ZF avant de poster une question

Vous n'êtes pas identifié.

#1 21-05-2007 15:35:01

Mr.MoOx
Administrateur
Lieu: Toulouse
Date d'inscription: 27-03-2007
Messages: 1444
Site web

[Résolu] Sécurité et Stockage des Mot de passe

Bonjour à tous. Je voudrais juste avoir vos opinions à propos de vos manières de stocker des mots de passe dans une base.

Es-que le md5() de php est assez sécurisé?
Y'a t-il d'autres alternatives simples et/ou rapide à mettre en place?

En fait, j'utilise en fait une base OSCommerce (kesako?) et la manière de stocker les pass est assez bizarre car un mot de passe encrypté 2 fois de suite ne donne pas la même chose (c'est bien sécurisé mais quand je veux comparer mon mot de passe saisi avec celui dans la base en passant par Zend_Auth_Adapter_DbTable... j'peux me brosser pour que ça marche!)...
Je pensais changer la fonction de comparaison et d'encryptage (c'est l'histoire de quelque ligne avec un remix maison de md5()).

Que pensez vous de tout cela?

Dernière modification par Mr.MoOx (23-05-2007 10:33:24)

Hors ligne

 

#2 21-05-2007 17:14:12

Julien
Membre
Date d'inscription: 16-03-2007
Messages: 501

Re: [Résolu] Sécurité et Stockage des Mot de passe

Il a été démontré que md5 est cassable, et ce rapidement.
Je suggère l'utilisation de sha1(), ou toute autre fonction de cryptage issue de mcrypt, par exemple.

Hors ligne

 

#3 21-05-2007 23:45:47

yannux
Membre
Lieu: Rennes
Date d'inscription: 07-04-2007
Messages: 284
Site web

Re: [Résolu] Sécurité et Stockage des Mot de passe

Et pourquoi pas un petit  sha256 smile
http://www.php.net/manual/fr/function.hash.php
Voir aussi le commentaire : http://fr.php.net/manual/fr/function.sha1.php#70474


Société : Direct Info Service

Hors ligne

 

#4 22-05-2007 13:42:41

Mr.MoOx
Administrateur
Lieu: Toulouse
Date d'inscription: 27-03-2007
Messages: 1444
Site web

Re: [Résolu] Sécurité et Stockage des Mot de passe

Que pensez vous d'un combo maison?
Dans le genre de (par exemple) sha1(str_reverse(md5($password)));
Une fois (pour un site à mes tous débuts) j'avais pris un md5 que je coupai en 2 (comme un paquet de carte smile ) puis j'inversais le resultat. Ce genre de pratique réduit-t-elle encore plus les risques?

Hors ligne

 

#5 22-05-2007 14:28:45

Julien
Membre
Date d'inscription: 16-03-2007
Messages: 501

Re: [Résolu] Sécurité et Stockage des Mot de passe

Moué, ca dépend du projet ...
Si le temps que tu passes à coder ta fonction de codage est OK au niveau du cahier des charges et du planning du projet, pourquoi pas. Mais en général on évite de "perdre" du temps à créer quelque chose qui existe, question de rentabilité ;-)
Sauf si un besoin spécifique a été éxigé.

Hors ligne

 

#6 23-05-2007 10:33:09

Mr.MoOx
Administrateur
Lieu: Toulouse
Date d'inscription: 27-03-2007
Messages: 1444
Site web

Re: [Résolu] Sécurité et Stockage des Mot de passe

Oki merci à vous. J'vais donc me pencher sur la fonction hash() en choisissant un bonne algo.

Hors ligne

 

Pied de page des forums

Propulsé par PunBB
© Copyright 2002–2005 Rickard Andersson
Traduction par punbb.fr

Graphisme réalisé par l'agence Rodolphe Eveilleau
Développement par Kitpages