Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

Encryption en php

https://forum.phpfrance.com/viewtopic.php?f=8&t=239528

Page 1 sur 1

encryption en php

Posté : 10 avr. 2008, 08:08
par choubix
hello,

est ce que qq un peut me dire quel est le meilleur type d'encodage d'infos en php svp?
le md5 () ou l'utilisation de plusieurs encodages a la suite??

merci!

Posté : 10 avr. 2008, 09:18
par Cyrano
Salut,
déjà, ce n'est pas d'encodage qu'il est question mais soit de hachage soit de chiffrement.
Le premier est irréversible, le second au contraire permet l'opération inverse.

Quant au choix, ça dépend du besoin, du degré de sensibilité des informations et du fait que tu aies ou non besoin de pouvoir récupérer lesdites informations en clair ou non.

Si c'est pour des mots de passe par exemple, un simple hachage avec md5() ou sha1() peut être tout à fait convenable. Mais encore une fois, celui qui perd son mot de passe ne pourra pas le récupérer. Donc si tu définis que l'utilisateur doit pouvouir récupérer un mot de passe égaré, alors tourne-toi vers le chiffrement soit avec PHP en utilisant mcrypt, soit directement en SQL avec par exemple AES_ENCRYPT()/AES_DECRYPT() si tu utilises MySQL.

Posté : 10 avr. 2008, 10:17
par icebreak
Je vois de plus en plus de décodeur MD5 performant sur le net, fonctionnant
avec des dictionnaires, donc de moins en moins fiable comme méthode.

Posté : 10 avr. 2008, 10:25
par Cyrano
Je vois de plus en plus de décodeur MD5 performant sur le net, fonctionnant
avec des dictionnaires, donc de moins en moins fiable comme méthode.
Ça n'illustre pas un défaut du système de hachage mais un problème d'utilisateur qui va utiliser comme mot de passe le nom de son chien, sa date de naissance ou encore le prénom de sa femme : dans tous ces cas là, c'est susceptible d'attaque au dictionnaire.

Pour parer ce problème, il faut imposer une forme pour les mots de passe ou encore les générer soi-même, mais devant comporter un nombre de caractères minimum, éventuellement un maximum et au moins une certaine proportion de lettre ou une certaine proportion de chiffres : dans ce cas, on limite le coup de l'attaque au dico.

On peut en outre limiter le nombre d'essais d'identification pour une session donnée : après un nombre x d'essai, on bloque le compte et on envoie un courriel au titulaire l'invitant à s'identifier pour récupérer un nouveau mot de passe imposé qu'il pourrait changer ultérieurement selon les critères mentionnés au dessus.

Posté : 10 avr. 2008, 11:34
par choubix
bon, je vais avoir besoin de decoder les infos donc un md5() sera suffisant...

merci! :)

Posté : 10 avr. 2008, 11:36
par Cyrano
bon, je vais avoir besoin de decoder les infos donc un md5() sera suffisant...

merci! :)
:shock: As-tu bien lu ce que j'ai écrit ? md5() est une fonction de hachage irréversible : tu ne pourras pas décoder ce qui sera haché avec cette fonction, pareil pour sha1()

Posté : 14 avr. 2008, 09:49
par choubix
pardon cyrano j'ai ete un peu rapide dans ma reponse! (je vais me tourner vers mcrypt)

merci :)
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/