J'avais lu un article sur un encodage coté client, faudrait que je remette la main dessus.
Mais ca pose toujours un problème, vu que c'est la chaine hachée qui est envoyée pour comparaison,le simple fait de récupérer cette chaine permet de se connecter via le formulaire...
La seule solution valable pour la protection des formulaire d'authentification c'est le SSL...

J'avais lu un article sur un encodage coté client, faudrait que je remette la main dessus.
Mais ca pose toujours un problème, vu que c'est la chaine hachée qui est envoyée pour comparaison,le simple fait de récupérer cette chaine permet de se connecter via le formulaire...

... sauf si le mot de passe est concaténé à un grain de sel à chaque fois différent. Dans ce cas la chaine récupérée n'est valide qu'une seule fois.

Pour ceux que cela intéressent voici un lien qui permet de faire du sha256 en javascript.

savoir que l'on utilise md5 ne permet pas de retrouver le mot de passe d'origine.
A la rigueur, il facilite le travail d'attaque par dictionnaire, mais toute tentative de ce type sera sur les techniques les plus utilisées en 1er (soit hash et md5)

savoir que l'on utilise md5 ne permet pas de retrouver le mot de passe d'origine.
A la rigueur, il facilite le travail d'attaque par dictionnaire, mais toute tentative de ce type sera sur les techniques les plus utilisées en 1er (soit hash et md5)

le crack de md5 ca se fait très bien maintenant, et un md5 ça se redonnait à l'oeil, rien que le fait que ça fait 32 caractères fixe... de toutes les manières faut bien se rendre compte que la sécurité informatique c'est une illusion, que le fait que quelqu'un ne se fasse pas attaquer (par des gens compétents) signifie juste qu'il a soi 1) de la chance, ou soi 2) ne représente aucun intérêt à être attaqué.

savoir que l'on utilise md5 ne permet pas de retrouver le mot de passe d'origine.
A la rigueur, il facilite le travail d'attaque par dictionnaire, mais toute tentative de ce type sera sur les techniques les plus utilisées en 1er (soit hash et md5)

le crack de md5 ca se fait très bien maintenant, et un md5 ça se redonnait à l'oeil, rien que le fait que ça fait 32 caractères fixe... de toutes les manières faut bien se rendre compte que la sécurité informatique c'est une illusion, que le fait que quelqu'un ne se fasse pas attaquer (par des gens compétents) signifie juste qu'il a soi 1) de la chance, ou soi 2) ne représente aucun intérêt à être attaqué.

Mon idée était plutôt de dire que ce n'est pas le fait d'afficher ou cacher que c'est du md5 qui fera que c'est plus sécurisé.
La sécurisation en cachant des données, c'est jamais fiable

savoir que l'on utilise md5 ne permet pas de retrouver le mot de passe d'origine.
A la rigueur, il facilite le travail d'attaque par dictionnaire, mais toute tentative de ce type sera sur les techniques les plus utilisées en 1er (soit hash et md5)

le crack de md5 ca se fait très bien maintenant, et un md5 ça se redonnait à l'oeil, rien que le fait que ça fait 32 caractères fixe... de toutes les manières faut bien se rendre compte que la sécurité informatique c'est une illusion, que le fait que quelqu'un ne se fasse pas attaquer (par des gens compétents) signifie juste qu'il a soi 1) de la chance, ou soi 2) ne représente aucun intérêt à être attaqué.

Mon idée était plutôt de dire que ce n'est pas le fait d'afficher ou cacher que c'est du md5 qui fera que c'est plus sécurisé.
La sécurisation en cachant des données, c'est jamais fiable

ouais c'est certain mais je surenchérissais en disant que la sécurité informatique ça tient plus de la croyance et de la prière que du paramétrage

C'est vrai, je dirai à ma manière que c'est surtout d'éviter que le premier branleur venue vienne bousiller des heures de travail.
Pour les reste, ils ont autre-chose à faire ou à s'occuper.
Ou si on a bien fait notre job, respectent un peu le travail fournit... -> enfin là, peut-être que je crois un peu au père-noël

Et les systèmes que font les banques en ligne actuellement... ?
On a déjà ssl (fort heureusement), et pour contrer d'éventuels keyloggers, on a des claviers virtuels changeants à chaque fois à actionner avec la souris.
Chez la banque qui distribue aussi du courrier accessoirement, le clavier virtuel fonctionne même au survol prolongé de chaque touche ...
Avec ça normalement ça va ?

@ Nagol
Oui mais d'un autre côté en surenchérissant dans l'autre sens, on pourrait dire qu'il ne sert donc à rien de protéger les accès administrateurs... La protection est donc une histoire de juste équilibre pour éviter que l'accès soit trop facilement piratable. Et quand on peut améliorer la sécurité par des techniques simples il ne faut pas s'en priver.

Choisir un mot de passe assez long avec quelques caractères spéciaux n'est pas très difficile. De même la technique du grain de sable que je mentionnait plus haut ne l'est pas non plus et avec la généralisation des accès wifi je me dis que cela n'est pas un luxe...

Par ailleurs se serait bien bien d'arrêter de parler de md5... on se croirait encore à l'époque des débuts de php4. Le sha256 est supporté par les lib javascript, php 5.1.2 (et MySQL 5.5.5) et est quand même "un poil mieux" que le md5, alors pourquoi s'en priver ?

Et aussi, mais ensuite je m'arrête là.

Comme je l'avais déjà dis dans le passé ici, pour moi 99% des mots de passes qui sont trouvés, crackés et utilisés sont par la faute de son possesseur, ou par un autre moyen qu'un véritable crackage.

- Mot de passe simple, (prénom de sa fille ou nom de son chien)
- Même mot de passe utilisé partout, (genre le mec s'inscrit sur un forum de cracks, et hop les mecs le récupèrent et l'essayent à un autre endroit....)
- Simple Keylogger, (récupérée par exemple en téléchargeant un crack).
- Autres Virus récupérés bêtement
- Mot de passe en clair dans un fichier texte sur le disque dur
- Mot de passe noté sur un Postit sur l'écran.
...

Il y a quelques mois, une personnalité americaine s'est fait hacker son site par un gas.
Bien le gas avait simplement parcouru son blog, sa bio et l'avait trouvé par ce moyen.
Le pire c'est que le mec a trouvé un job en sécurité informatique ensuite lol, ok super en fait il savait simplement lire

Et les systèmes que font les banques en ligne actuellement... ?
On a déjà ssl (fort heureusement), et pour contrer d'éventuels keyloggers, on a des claviers virtuels changeants à chaque fois à actionner avec la souris.
Chez la banque qui distribue aussi du courrier accessoirement, le clavier virtuel fonctionne même au survol prolongé de chaque touche ...
Avec ça normalement ça va ?

Bah c'est le mieux qu'on puisse faire actuellement... Sans ce système, comme le disait plus faut Cyrano, il faut s'assurer que l'on a une machine saine et éviter les accès depuis les lieux publics.

Quant au ssl c'est aussi le mieux qu'on sait faire tant que...