Le 07/12/2012 à 13h 20

BlackYeLL a écrit :



Pour info, ce n’est pas parceque le mot de passe est envoyé par mail lors de l’inscription que ce n’est pas son SHA-1 + salt qui sont stockés en DB.







SHA-1 est un algo de hashage donc théoriquement non réversible. Par contre les possibilités de trouver des collisions sont plutôt grande, donc préférez dans tous les cas SHA-256 +salt (et encore vu les bases à dispo maintenant ce n’est pas non plus infaillible)









winch a écrit :



En partie faux…



Je m’explique :



Recevoir le mot de passe en clair à l’inscription ne prouve pas que le service stocke les mots de passe en clair, car au moment de l’inscription il ne lit pas le mot de passe à partir de la base de donnée mais à partir du formulaire d’inscription, où le mot de passe est en clair (puisque rentré à la main par le nouvel utilisateur)







même si cela ne passe pas par la BDD, il n’y a, à mon avis, rien de moins sûr qu’un mail. Aucune garantie de transfert sécurisé et de toute manière et ça crée aussi un endroit (la BAL utilisateur) où le password est stocké en clair. Donc à bannir aussi.