hadoken a écrit :



Dans le communiqué c’est écrit “encrypted passwords”, ce qui n’a rien à voir avec un hash. Dans tous les cas WTF quoi, on ne stocke JAMAIS de passwords (chiffrés ou non) et on ne confond pas “password chiffré” avec “password hashé” dans un communiqué !







Sauf si ton communiqué est destiné au grand public qui ne sait pas ce qu’est le “hashage”(boucherie, machette) mais connais le chiffrement (agent secret/ sécurité) " />



Dans tous les cas, un mot de passe “hashé” reste une sorte de “chiffrage” : il n’est pas reconnaissable par une personne le lisant. maintenant on est d’accord, pour des personnes qui connaissent les termes, c’est pas très serieux " />

Aloyse57 a écrit :



Je peux savoir comment tu fais pour comparer si tu n’as pas de base de comparaison ?

Evidemment que le user+password est stocké, il n’y a aucune autre solution possible.



Edit : à moins de faire 1+2=3 et stocker 3 (je fais simple, mais je me demande ci c’est possible et surtout fiable)







Pour completer ce qui a été dit juste avant et faire un chouilla moins condescendant (" />), en gros tu fais une fonction qui n’est pas “inversible”.



Par exemple : MD5 : un algo maitrisé, que tout le monde connais et dont on sait mathématiquement qu’il est impossible de retrouver le contenu hashé à partie de la clé de hash.

Donc si ton mot de passe est ‘test123”, le résultat est une clé (au pif, j’ai pas un soft md5 sous la main), ça donne “3AA15afDsdD31”.



Si on te donne ce “hash md5” impossible de retrouver le mot de passe associé

Maintenant si un utilisateur se log et renseigne le mdp test, tu n’as qu’à vérifier si functionMD5(test123) = “ 3AA15afDsdD31”. Si vrai, alors soit il a renseigné “test123” soit il a réussi à trouver l’autre mot de passe qui a pour hash md5 “3AA15afDsdD31” … traduction : bon courage " />







Maintenant ça reste TRES loin d’être parfait (d’où la GROSSE reco de EBAY de changer les mdp). Le défaut c’est qu’il est très facile de prendre les 1000 mdp les plus utilisés et un bon paquet de mots de dictionnaire et de faire un functionMD5(xxx) pour avoir un hash.

Donc maintenant si tu te fais un table contenant tous les hash des mdp les plus classiques et leur variation, le mec qui a trouvé le hash “3AA15afDsdD31” dans la base … connais maintenant ton password " />

Donc couplé à un mdp faible, le simple hash est juste inutile " />



La dessus la solution, c’est ce qu’on appelle le salage + hash. En gros, même principe, mais au moment où on crée ton compte, on génère une clé aléatoire (qu’on peut stocker à coté de ton mdp), et on fait une fonction functionHASH(“test”+clé de salage) = “lkf!eAZEza22”.



En gros on a “pollué” ton hash avec un clé aléatoire. Vu qu’il n’existe pas de rainbow table existante “avec ta clé de salage”, le hacker va devoir se créer une rainbow table par clé de salage … déjà LARGEMENT plus long à mettre en place et avec un retour sur investissement LARGEMENT plus réduit " />



Avec un mdp faible tu es toujours à risque … mais largement moins … " />



J’espère que j’ai été assez clair " />

ledufakademy a écrit :



“Si vous avez utilisé le même mot de passe sur plusieurs services, ce qui n’est pas une bonne idée à la base, il faudra alors également les changer pour éviter tout risque. Un message allant dans ce sens sera d’ailleurs prochainement envoyé à tous ses utilisateurs.”



… Tu as combien de mot de passe à retenir dans ce cas ?

Soyons réaliste.







Soyons réaliste, ici si c’est le cas, alors potentiellement des pirates ont ton nom, ton login classique et ton mot de passe … donc si tu utilises ce mot de passe sur d’autres services, change le sur les autres sites " />