Page 1 sur 1
[Résolu] Sécurité
Posté : 29 mai 2012, 14:09
par Asicoo
Bonjour,
J'aimerais savoir si il pouvait avoir une faille de sécurité, je m'explique.
Bon suite à mon 2ième poste concernant l'espace membre, il est impossible de faire vérifier un mot de passe Déjà hash en Mysql5 (donc password)
Or donc problème de connexion impossible d'y faire vérifier, bref pas grave, je contourne le problème en copiant la saisie de Pass et en injectant sur une autre colone dont je me servirais pour me connecter au site,...
Maintenant je me pose une Question es-ce sécurisé de vérifier le mot de passe en clair ?
Re: [En Cours] Sécurité
Posté : 29 mai 2012, 14:18
par Xartrick
Si personne sauf toi a accès à la base de donnée, aucun soucis.
Si un attaquant vient à lire la base de donnée, le mot de passe est en clair et donc non-sécurisé.
Re: [En Cours] Sécurité
Posté : 29 mai 2012, 14:35
par Asicoo
Je comprend, mais comment font alors les sites pour renvoyer le mot de passe ? Il doit être déchiffré non ?
Re: [En Cours] Sécurité
Posté : 29 mai 2012, 14:47
par moogli
le MD5 ce n'est un chiffrage.
Un chiffrage est réversible (avec un algo et un system de clef généralement) un MD5 non (bien, qu'a priori, il existe des dictionnaires maintenant cela reste indéchiffrable).
Le renvoie de mot de passe est généralement fait à l'aide d'un générateur de chaîne aléatoire.
S'il s'agit d'un renvoie du mot de passe d'origine, c'est un cryptage et la tu peux regarde du coté de l'extension
openSSL de PHP.
Mais globalement, comme dit plus haut on ne stock pas un mot de passe en clair ET onne l'envoie pas au SGBD pour le tester. on évite au maximum de faire transiter l'info sur le réseau (donc navigateur -> serveur c'est tout).
@+
Re: [En Cours] Sécurité
Posté : 29 mai 2012, 14:49
par sam12
Ceux qui le renvoient ne le hashe pas
Normalement, la plupart des sites, régénère un pass qu'il faut changer à la prochaine connexion (ou pas obligé mais conseillé).
Re: [En Cours] Sécurité
Posté : 29 mai 2012, 14:50
par Asicoo
D'accord merci, je vais donc je hash en sha1 je pourrais déjà le faire vérifier.
Merci encore= )
Re: [Résolu] Sécurité
Posté : 29 mai 2012, 14:56
par piotrowski-s
quand j'ai eu perdu des mots de passes en md5 j'ai eu aucun mal a les redécouvri grâce à des outils comme ce site:
http://www.authsecu.com/decrypter-dechi ... sh-md5.php
depuis ce temps je me suis demandé si le md5 était si fiable que cela?
Re: [Résolu] Sécurité
Posté : 29 mai 2012, 14:59
par sam12
Il faut voir aussi la qualité du pass, si c'est un mot du dico...
Re: [Résolu] Sécurité
Posté : 29 mai 2012, 15:02
par Xartrick
Un hache (hash) est comparable, mais irréversible.
Le fait que ton mot de passe soit dans le dictionnaire, soit faible ou autre fait qu'il se trouve dans des tables de comparaison, et donc, est trouvable.